På IT-sikkerhetssamlingen RSA Conference USA 2014 i slutten av februar vil senior sikkerhetskonsulent Neal Hindocha i Trustwave demonstrere kode som registrerer opp fingerbevegelser på berøringsskjermer, og vise hvordan det kan brukes til å fange opp PIN-koder, passord og annen informasjon, på samme måte som tastetrykkloggere på pc-er.
Hindochas presentasjon er forhåndsomtalt på Forbes, SC Magazine og Threatpost.
Spørsmålet som Hindocha er opptatt av, er om smartmobiler og nettbrett kan utsettes for ondsinnet kode tilsvarende tastetrykkloggere på pc-er. I prinsippet er svaret «ja». Koden som Hindocha har skrevet, kan brukes til å rekonstruere ting som PIN-koder og passord. Den registrerer hvor det sveipes og trykkes, og det viser seg at det skal ikke spesielt mye analyse til for å rekonstruere tall og bokstaver, selv uten skjermdump av det virtuelle tastaturet. Med ytterligere analyse, vil det antakelig være mulig å bruke «touchlogging» til å avdekke det meste av det en smartmobil brukes til.
Det Hindocha avdekker, kan ikke umiddelbart betraktes som en truende sårbarhet. Koden hans kjører bare på iOS- og Android-apparater der standard systemsperrer er brutt ned, det vil si at iOS er «jail broken» og Android er «rooted» (se How to Root Your Android Phone or Tablet for en forklaring av hva dette innebærer, og hvilke fordeler og ulemper det medfører). Et annet poeng er at koden lar seg bare installere dersom mobilen koples til en PC over USB.
Samtidig kan man lett tenke seg at ondsinnede hackere har tilsvarende prosjekt som Hindocha. Det er ikke utenkelig at de kan ha kommet lenger, og at de konsentrerer seg om Android, mobilverdenens svar på pc-verdenens Windows.
En typisk ondsinnet anvendelse av «touchlogging» vil være å fange opp engangspassord fra offerets mobiltelefon samtidig som man manipulerer vedkommendes samspill med nettbanken.
