ITU-studerende: Sensorer i smartwatch kan afsløre pinkoden til dit betalingskort

Sensorer i et smartwatch kan bruges til at aflæse den pin-kode folk indtaster, når de eksempelvis benytter en hæveautomat, har ITU-studerende påvist.

Et smartwatch kan som bekendt andet end at vise, hvad klokken er. De færreste går dog nok og tænker over, at elektronikken på håndleddet kan gøre uvedkommende i stand til at aflæse den pinkode, der bliver indtastet på et keypad, der svarer til det på en dankort-aflæser.

Tony Beltramelli har læst softwareudvikling på IT Universitetet, og han har netop forsvaret sit specialeprojekt. I projektet har han påvist, at det med rimelig stor sandsynlighed er muligt at aflæse eksempelvis pinkoder ud fra den måde, brugeren af et smartwatch bevæger hånden på under indtastning.

Han har fået en gruppe testpersoner til at taste løs på en keypad, der minder om det på en dankortterminal. Testpersonerne har været iklædt et smartwatch.

Ved at køre data fra urets sensorer - gyroskop og accelerometer - gennem en machine learning-algoritme har det været muligt med rimelig sandsynlighed at detektere, hvilke tal testpersonerne har trykket på.

»Det var ikke overraskende, at det var muligt at aflæse pin-tallene. Det overraskende var omfanget hvormed, det faktisk fungerede,« siger Beltramelli.

Deep learning

Machine learning-algoritmenerne, han har anvendt, er i kategorien deep learning. Idet konkrete tilfælde og kort fortalt indebærer det, at algoritmerne er blevet præsenteret for data fra testpersonerne, som har trykket 1, 2, 3 og så fremdeles.

Algortimerne lærer på den måde, hvordan et tryk på en bestemt tast, bør se ud for det specifikke individ, forklarer Tony Beltramelli. Og på baggrund af den indlærte adfærd forsøger algoritmen så at gætte, hvor brugeren faktisk trykker fremover.

I den forbindelse er det værd at bemærke, at algoritmen skal trænes til tryk for enkeltpersoner. Det vil sige, at hvis en hacker skaffer sig adgang til eksempelvis en smartphone og begynder at høste data fra et smartwatch ad den vej, så forudsætter det, at hackeren anvender en algoritme, der er trænet til at genkende bevægelsesmønsteret for det pågældende offer.

Tony Beltramelli forklarer dog i den forbindelse, at hvis flere personer har en tasteteknik, der ligger tæt op ad hinanden, så er det muligt, at den statistiske model i algoritmerne vil se det som en person, og dermed alligevel være i stand til at genkende tastetrykkene.

»Men det er ikke tilsigtet. Det er et biprodukt fra den metode, vi har anvendt.«

Men er der tale om et enkelt individ, kan algoritmen altså med rimelig sandsynlighed sige, om der bliver trykket på det ene eller det andet tal på et keypad, som i forsøgssetuppet havde 12 taster.

Rimelig sandsynlighed vil i 59 pct. af tilfældene for et keypad og i 73 pct. af tilfældene for touchpad. Altså et tastatur på en touchscreen.

Forskellen forklarer Beltramelli med, at touchskærmen ganske enkelt var større under forsøgene, derfor var udsvinget i testpersonernes håndbevægelser også større og dermed lettere at detektere.

Den forkerte hånd?

Lige nu sidder der en eller flere Version2-læsere og tænker noget i retning af: »Jamen, pinkoden bliver jo typisk indtastet med den hånd, som uret ikke sidder på ...«

Og det er helt rigtigt, medgiver Beltramelli. Han fortæller, at der mest af alt er tale om proof-on-concept, der skal illustrere at der kan være en risiko i forhold til den type teknologi.

Når det er sagt, så er der de såkaldte fitness-trackere, der eksempelvis tæller brugerens puls, samt antallet af skridt.

»Jeg har observeret at nogle, inklusiv mine kollegaer, faktisk har fitness-trackeren på højre hånd, selvom de er højrehåndede. Så selvom vi bruger et smartwatch i dette projekt, så er sensorerne i en fitness-tracker stort set de samme. Så i teorien vil det være muligt at gøre det samme,« siger han med henvisning til uvedkommendes mulighed for at aflure pin-koder.

Selvom Tony Beltramelli har påvist, at det altså er muligt at snage i eksempelvis pin-kodeindtastning via et smartwatch, så mener han dog ikke, der er grund til at blive bange for teknologier som smartwatches eller fitness-trackere.

»Men det er vigtigt at minde folk om, at de bruger intelligent teknologi, der kan bruges til at overvåge dem med, uden de er klar over det.«

Tony Beltramellis specialeprojekt ligger her (PDF). Selvom han altså maner til besindighed, så står der dog i konklusionen på specialeprojektet:

»... disse observationer antyder, at en cyberkriminel teoretisk vil være i stand til at aflytte en vilkårlig enhed, som brugeren anvender, mens der bæres et WAD (Wearable Wristband and Armband Devices). Og dermed få adgang til følsom og yderst værdifuld information og muligvis forårsage alvorlige skader,« står der i konklusionen, som også påpeger, at risikoen for sådanne angreb kan minimeres ved at en eksempelvis højrehåndet person har sin WAD på venstre håndled.

Derudover bliver det påpeget i projektrapporten, at operativsystemerne i WADs bør kræve brugerens godkendelse, før nogen apps får adgang til data fra accelerometer og gyroskop.

Der ligger en lille video på Youtube, hvor Tony Beltramelli demonstrerer teknikken.