Menü
Mac & i

PIN-Ausspähung per iPhone-Wärmesensor

Mit der mittlerweile in den USA erhältlichen FLIR-One-Kamera können Angreifer ein Bild der Tastatur von Geldautomaten und Kartenterminals aufnehmen und dann die PIN ermitteln. Das lässt sich zum Glück leicht verhindern.

vorlesen Drucken Kommentare lesen 146 Beiträge

Die im Januar vorgestellte iPhone-Wärmebildkamera FLIR One ist in den USA mittlerweile im Handel. Mit dem 350 US-Dollar teuren Gerät ist es möglich, Fotos und Videos zu erstellen, die die jeweiligen Temperaturen zeigen – in Form einer Fehlfarbendarstellung. Das iPhone wird dazu einfach in das als Handy-Hülle ausgeführte Gerät geschoben und eine entsprechende App gestartet.

Wie der Blogger Mark Rober nun auf YouTube demonstriert, lässt sich das Gerät auch missbräuchlich verwenden: Zum Stehlen von Geheimnummern für EC- und Kreditkarten. Dazu ging Rober in einen Laden und wartete, bis die Person vor ihm ihre PIN in ein Terminal eingab. Anschließend machte er mit seinem iPhone und der FLIR One dezent ein Foto der Geheimnummern-Tastatur. Wie sich herausstellte, hält die Wärmesignatur noch einige Sekunden an. Zudem lässt sich die richtige Reihenfolge der Ziffern durch den unterschiedlichen Wärmegrad der einzelnen Tasten relativ gut ermitteln.

Die Reihenfolge der PIN lässt sich anhand des Wärmegrads ablesen.

(Bild: Mark Rober)

Robers Idee ist nicht neu: So gab es im Jahr 2011 bereits eine Studie von Forschern an der University of California in San Diego, die zeigten, dass ein solcher Trick in 80 Prozent der Fälle funktioniert, wenn der Angreifer schnell genug ist. Zu diesem Zeitpunkt gab es allerdings noch keine so günstigen Wärmebildkameras auf den Markt, die breit verfügbar war – die FLIR One soll mittlerweile in den Apple Retail Stores in den USA angeboten werden.

Umgehen lässt sich die Gefahr allerdings sehr einfach: Nutzer müssen nur neben den Tasten für die eigentliche PIN noch andere Ziffern berühren, um auch dort eine Wärmesignatur zu hinterlassen. Der Trick funktioniert sowieso nur bei Kunststoff- und Gummi-Keypads. Metalltastaturen liefern aufgrund ihrer Wärmeleiteigenschaften nur ein diffuses Bild.

So funktioniert der FLIR-Angriff (Video: Mark Rober).

(bsc)