Security

Handykamera liest Passwort von den Augen ab

Dass Betrüger mittlerweile vor dem Geldautomaten die Kamera nehmen, um bei der PIN-Eingabe draufzuhalten, ist bekannt. Die Handykamera kann aber auch den eigenen Besitzer ausspionieren - bei der Eingabe von Passwörtern auf dem Touchscreen.

03.07.2014, 10:01 Uhr
Smartphone© goodluz / Fotolia.com

Ein Passwort schützt nur dann, wenn es keiner kennt. Dazu gehört auch, dass niemand sieht, wie es eingegeben wird. Dass Betrüger mittlerweile vor dem Geldautomaten die Kamera nehmen, um bei der PIN-Eingabe draufzuhalten, ist bekannt. Die Handykamera kann aber auch den eigenen Besitzer ausspionieren - bei der Eingabe von Passwörtern auf dem Touchscreen.

Am besten mit Brille

Dies haben Forscher der TU Berlin und der Telekom Innovation Laboratories nachgewiesen. Sie haben mit der Kamera allerdings nicht die Hand aufgenommen, wie sie das Passwort eingibt, sondern die Augen. Dort spiegelte sich der Bildschirminhalt und welche Ziffer gerade eingetippt wurde. Noch besser gelang dies, wenn der Handybesitzer eine Brille trug. Am deutlichsten wurde das Bild jedoch, wenn er eine Sonnenbrille trug.

Im Test eingesetzt wurde ein Oppo N1, das die Redaktion der Zeitschrift c't den Forschern zur Verfügung stellte. Das Besondere an diesem Smartphone ist die drehbare 13-Megapixel-Kamera. Damit verfügte die Frontkamera über eine ungewöhnlich hohe Auflösung.

Fingerabdrücke erkennen

Sogar Fingerabdrücke ließen sich mit dieser Methode erfassen. Dafür wurde allerdings die Kamera genutzt, wenn sie zur Rückseite gedreht war. Viele kommen mit dem Zeigefinger in die Nähe der Kamera, wenn sie nach dem Smartphone greifen, das mit dem Display nach unten auf dem Tisch liegt. Es muss nur der richtige Moment abgepasst werden, um den Zeigefinger zu erwischen.

Die Bilder wurden von einer App erfasst, die für diesen Test entwickelt wurde. Bei einem tatsächlichen Angriff könnte sie zum Beispiel als Spiel getarnt auf das Gerät kommen und dort dann im Hintergrund laufen.

Über die Forschungsergebnisse berichtet die c't vorab, vollständig werden sie jedoch erst im August beim Workshop on Offensive Technologies (WOOT) in San Diego präsentiert.

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang