Bei achtstelligen Codes braucht es für eine Erfolgsquote von 60 Prozent immerhin zehn Versuche. Angesichts dessen, dass die Codes nur auf Basis des Gesichts der User und der bei der Eingabe entstehenden Töne geknackt werden, eine beachtliche Leistung.
"Wir waren selbst überrascht, wie gut es funktioniert", sagt der an der Cambridge-Universität tätige IT-Sicherheitsprofessor Ross Anderson im Gespräch mit der britischen TV-Anstalt BBC.
PIN wird auf Basis von Bild und Ton geknackt
Die Vorgehensweise der Forscher: Zunächst wurde auf den beiden für den Versuch genutzten Smartphones, einem Google Nexus S und einem Samsung Galaxy S3, das Tool "PIN Skimmer" installiert, das sich fortan bei der Codeeingabe des internen Mikrofons und der Frontkamera bemächtigte. Über das Mikrofon "hört" die Software die Geräusche des Telefons, wenn der Nutzer eine Zahl am Touchscreen berührt.
Gleichzeitig wird über die Kamera ausgeforscht, wie der Nutzer das Telefon hält. "Wir schauen, wie sich das Gesicht bewegt und wie das Handy bei der Eingabe wackelt", erklärt Anderson. Aus diesen Infos und den Audiodaten vom Mikrofon wird dann errechnet, welche Zahlen vermutlich berührt wurden. Nach ein paar Versuchen ist der vermeintlich sichere Code geknackt.
Sichere Alternativen meist kompliziert
Die Wissenschaftler schlagen vor, zur Sicherheit längere Zahlencodes zu verwenden, die nicht so leicht geknackt werden können. Sie räumen aber auch ein, dass das weit umständlicher als ein normaler Code ist – und dass sich die meisten Nutzer allzu lange Codes nur schwer merken können.
Als Alternative käme etwa in Frage, die Position der einzelnen Zahlen bei der Codeeingabe zufällig zu variieren, sodass eine Zahl mal oben, mal unten zu finden ist und ein Tool wie "PIN Skimmer" aus dem Ort der Berührung des Displays keine Rückschlüsse mehr auf den Code ziehen kann.
Aber auch das macht das Entsperren eines Smartphones komplizierter. Fingerabdruck- oder Gesichtserkennung seien da schon zielführender, so die Forscher. Vor allem Entwickler von Banking- und Bezahl-Apps sollten sich der Unsicherheit gewöhnlicher PIN-Codes bewusst sein.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.