Bild: _as_

Webseiten mit bösen JavaScript Code ist es möglich den Bewegungssensor anzusprechen und so auch PIN Code eingaben abzufangen.

Bereits 2015 gab es eine Meldung an das Chromium Team das eine Attacke via JavaScript und Bewegungssensor möglich wäre.

Viele Webseiten nutzen bereits die Möglichkeit den Bewegungssensor anzusprechen, um z.B. spezielle Video Funktionen auszuführen oder ähnlich.

Demoseite

Wir haben eine Testseite erstellt um die Java Funktion zu demonstrieren.

Kurzlink: http://t.ress.at/PVu3M/

Natürlich werden dort keine Daten gestohlen, sondern nur im Browser angezeigt.

Im Web kursiert aber nun eine Erweiterung des Codes, welche sich in der Datei PINLogger.js versteckt. Diese soll einen 4 Stelligen Code mit einer Erfolgsrate von bis zu 94% auslesen können. Es sammelt die Bewegungssensor Daten und kann daraus Rückschlüsse auf den PIN ziehen.

Betroffen sind Android und iOS Geräte fast gleichermaßen:


Grafik: Maryam Mehrnezhad

Erstellt man z.B. eine gefälschte Bankhomepage können über diese dann sehr leicht PIN Daten oder auch die Kontonummer, mit mehr Aufwand, gestohlen werden.

Das Chromium Team hat diesen Bug aber trotzdem nur als "low severity security" einstuft, weil das Angriffsszenario doch sehr umständlich ist und wenige betreffen wird.