iPhone als Passwortspion

Blau mach Schultersurfer glücklich: Durch die optische Rückmeldung gedrückter Tasten kann man das Passwort sehr leicht ausspähen. Die Sicherheitsexperten von thinkst haben eine App entwickelt, die das Passwort anderer iPad- und iPhone-Nutzer ausspäht, indem sie sie bei der Eingabe filmt und die Tastaturdrücke mit der Bilderkennungssoftware OpenCV auswertet. Damit lassen sich klassischen Shoulder-Surfing-Angriff mit geringem Aufwand automatisieren. Prinzipiell lässt sich der Angriff auch auf andere Touchscreen-Geräte übertragen.

Die App der Forscher ermittelt zunächst die Position der Textbox auf dem Login-Bildschirm des Gerätes. Anschließend wartet das Programm darauf, dass sich die Farbe einzelner Tasten auf der Bildschirmtastatur ändert – iOS färbt die Tasten zur optischen Bestätigung blau. Anhand des Abstands zur Textbox kann das Programm nun bestimmen, welcher Buchstabe gedrückt wurde und so schließlich das gesamte Passwort aufzeichnen.

• On-screen Keyboards Considered Harmful von Thinkst Research