Als u de mobiele applicaties van de banken op uw eigen mobiele terminals gebruikt, is het goed om te weten dat uw apparaten hackers kunnen vertellen welke reeks cijfers u in de terminals typt. A gepubliceerde studie van twee onderzoekers van de prestigieuze Universiteit van Cambridge vertelt ons dat de microfoon en de camera aan de voorkant van een mobiele terminal kunnen worden gebruikt om de pincode te onthullen die in een bankaanvraag is getypt. Door de audiofeed op te nemen tijdens het typen van de cijfers op het virtuele toetsenbord en tijdens het typen videobeelden op te nemen, kan software met een vrij hoge nauwkeurigheid de pincodes van de kaarten bepalen. De onderzoekers beweren dat in 30% van de gevallen de pincodes correct worden ingevoerd in maximaal 3 pogingen, waarbij dit percentage toeneemt in gevallen waarin het aantal pogingen groter is dan 5.
Door audio op te nemen tijdens de pincode-invoer kunnen we aanraakgebeurtenissen detecteren. Door video op te nemen van de camera aan de voorkant tijdens het invoeren van de pincode, kunnen we de frames ophalen die overeenkomen met aanraakgebeurtenissen. Vervolgens extraheren we oriëntatieveranderingen uit de aanraakgebeurtenisframes en laten we zien dat het mogelijk is om af te leiden welk deel van het scherm door gebruikers wordt aangeraakt. In een testset van 50 viercijferige pincodes raadde de app (die een server-side component heeft voor beeldverwerking, om te voorkomen dat de batterij verdacht leegraakt) na een paar pogingen meer dan 4 procent van de pincodes correct. en ruim de helft na 30 pogingen. Uiteraard helpen langere pincodes, maar zelfs met 5-cijferige codes kwam PIN Skimmer na 8 pogingen nog steeds uit op ongeveer 45 procent.
De vandaag verstrekte gegevens zijn zorgwekkend omdat daaruit blijkt dat elke toepassing in a App Store het kan belangrijke informatie stelen zonder dat wij het weten. Uiteraard moet de applicatie communiceren met een hackerserver om de gegevens te verwerken die zijn vastgelegd tijdens het gebruik van de applicaties, maar toch hebben we het over een probleem dat in de loop van de tijd extreem gevaarlijk zal worden omdat extreem veel banken en mobiele betalingssystemen zijn over de hele wereld verkrijgbaar en worden steeds populairder. Voorlopig is de enige manier om het ontdekken van pincodes moeilijk te maken het gebruik van reeksen van meer dan 8 cijfers voor pincodes, maar om dit te kunnen implementeren is de medewerking van de banken nodig.
