Bewegingssensor verraadt wachtwoord

Vrij toegankelijk voor apps van derden

Accelerometer-gegevens zijn makkelijker dan de meeste andere systeemdata uitleesbaar voor apps van derden. Zo hebben apps, anders dan bijvoorbeeld bij het gebruik van locatiegegevens het geval is, als regel geen toestemming van de gebruiker nodig om bewegingsgegevens op te vragen. Veel apps gebruiken bewegingen met de smartphone als een reguliere vorm van invoer door de gebruiker, niet alleen in spelletjes maar ook in productiviteitsapps die schudden als 'ongedaan maken' opvatten.

Matchen met referentie-schommelingen

De onderzoekers, van het Swarthmore College in Pennsylvania, haalden de bewegingsgegevens over naar hun eigen computer, waarop zij ze vergeleken met een eigen set referentiebewegingsgegevens.
De matches die ze aldus maakten, klopten verrassend vaak, verklaarde onderzoeksleider Adam J Aviv tegenover BBC. In 43 procent van de gevallen raadde het systeem de werkelijke code binnen vijf pogingen. Bij ontgrendeling via een schuifpatroon, sneuvelde zelfs 73 procent van de codes binnen 5 gokjes.

Lopen verhoogt de veiligheid

Deze percentages gelden voor gebruikers die hun smartphone staande ontgrendelden. Als de gebruiker z'n code invoert terwijl hij loopt, veroorzaakt dat 'bewegingsruis' die de succeskansen van de 'hackers' aanzienlijk vermindert. Volgens Aviv werden diverse smartphone-modellen met succes aan de 'uitleesprocedure' onderworpen. Hij wilde niet in detail kwijt om welke merken of modellen het gaat.