Hackers kunnen wachtwoorden, PIN-codes en ons gedrag op websites achterhalen. Dat doen ze door de sensoren in onze smartphones en andere mobiele toestellen te meten.
Elke smartphone heet zo’n 25 verschillende sensoren. De camera, gps en microfoon kennen we. Daarnaast zijn er nog andere, ‘stille’ sensoren, zoals een gyroscoop, een acceleratiemeter, een proximity- en een rotatiesensor. Dankzij die apparaten kunnen we mobiele games spelen als Pokémon Go en kunnen we onze stappen bijhouden. Zelfs als je geen pokétrainer of fitness-enthousiast bent, gebruik je sensoren. Zo ‘voelt’ de proximity sensor dat je je scherm naar je oor brengt om te bellen. Je scherm zal dan automatisch uitschakelen om de batterij te sparen.
Enkel als apps of websites de bekende sensoren willen lezen – de camera, gps en microfoon – moeten ze expliciet toestemming vragen. Voor de andere sensoren hoeven ze dat niet, net omdat die zo fundamenteel zijn.
Via malafide websites en apps kunnen hackers van alles doen met de gegevens van die sensoren. Ze kunnen nagaan wanneer je belt, wanneer je gaat zitten, staan of wandelen, en zelfs wat je op het aanraakscherm doet. ‘Om dat te achterhalen, leggen de hackers een soort puzzel’, zegt Siamak Shahandashti, doctoraatstudent aan de Universiteit van Newcastle. ‘Via de sensoren in je toestel leest de hacker met welke patronen je je toestel kantelt.’ Probeer het maar eens: als je je smartphone met je duimt bedient, beweeg je niet alleen je duim, maar ook het scherm. Eens ze de puzzel hebben gelegd, kunnen hackers je PIN-code en je wachtwoorden achterhalen.
Hoe kan een hacker je PIN-code van je bankkaart lezen als je die invoert op de mobiele website van je bank? ‘Als je in je browser een ander tabblad open hebt met daarin de malafide code van de hacker, kan die je op alle andere openstaande tabbladen bespioneren’, zegt Maryam Mehrnezhad, onderzoekster aan de Universiteit van Newcastle.
De onderzoekers maakten hun vondsten bekend aan de ontwikkelaars van de bekendste browsers: Google, Apple en Firefox. Zij lieten weten het probleem deels te hebben verholpen. Daarmee zijn de browsers nog niet volledig waterdicht.
Veilig kantelen
Mehrnezhad geeft enkele tips die je wapenen tegen sensorenhacking:
Voorkom patronen. Wijzig je PIN-code en wachtwoorden regelmatig.
Vermijd pottenkijkers. Laat apps niet op de achtergrond lopen, maar sluit ze af. Doe hetzelfde met tabbladen in je browser.
Blijf up-to-date. Installeer tijdig software-updates en app-updates.
Vertrouw niet iedereen. Installeer enkel apps van de App Store (iOS) of de Play Store (Android)
Hou je apps in de gaten. Controleer welke toestemmingen een nieuw geïnstalleerde app vraagt.