Brute-Force-PIN des Mobiltelefons über USB mit 3-Dollar-Karte
Mobile PINs ähneln insofern vielen Passwörtern, als es eine Reihe sehr gebräuchlicher Passwörter gibt, und [Mobile Hacker] hat einen cleveren Proof of Concept, bei dem ein winziges Mikrocontroller-Entwicklungsboard verwendet wird, um eine Tastatur zu emulieren, um die 20 häufigsten Entsperrungen zu testen . PIN-Codes auf einem Android-Gerät.
![](https://hackaday.com/wp-content/uploads/2023/07/PIN-Bruteforcing-anim.gif? w= 300)
Das Projekt basiert auf Untersuchungen zur Sicherheit von 4- und 6-stelligen Smartphone-PIN-Codes, bei denen auffällige Ähnlichkeiten zwischen den gewählten Entsperrcodes festgestellt wurden durch den Benutzer. Obwohl die Forschung schon einige Jahre zurückreicht, hat sich das Nutzerverhalten in Bezug auf die PIN-Wahl wahrscheinlich nicht wesentlich verändert.
Die Hardware ist nicht viel mehr als ein Digispark-Board, ein kleines ATtiny85-basiertes Board mit integriertem USB-Anschluss und Adapter. Tatsächlich hat es viele Gemeinsamkeiten mit dem DIY Rubber Ducky, außer dass es sich auf eine Aufgabe konzentriert.
Sobald es mit einem mobilen Gerät verbunden ist, führt es eine Art Tastendruck-Injection-Angriff aus und sendet automatisch Tastendruck-Ereignisse zur Eingabe der gängigsten PIN-Codes mit einer Verzögerung zwischen den einzelnen Versuchen. Vorausgesetzt, dass das Gerät dies akzeptiert, dauert das Ausprobieren aller zwanzig Codes etwa sechs Minuten.
Das Deaktivieren von OTG-Verbindungen für ein Gerät ist eine Möglichkeit, diese Art von Angriffen zu verhindern. Noch besser ist es, keine gemeinsame PIN wie „1111“ oder „1234“ festzulegen. Im unten eingebetteten Video können Sie Brute Force in Aktion sehen.
Bruteforcing-PIN-Schutz einer beliebten App mit $3 ATTINY85 #Arduino
Das Testen aller möglichen PIN-Kombinationen (10.000) würde weniger als eineinhalb Stunden dauern, ohne dass das Konto gesperrt wird. Dies ist möglich, da der PIN-Code ohne biometrische Authentifizierung auf 4 Ziffern beschränkt ist#rubberducky pic.twitter.com/rbu9Tk3S9d
– Mobile Hacker (@androidmalware2), 12. Juli 2023
![Brute-Force-PIN des Mobiltelefons über USB mit 3-Dollar-Karte](https://hackaday.com/wp-content/uploads/2023/07/PIN-Android-Brute-Force.png?#)
Mobile PINs ähneln insofern vielen Passwörtern, als es eine Reihe sehr gebräuchlicher Passwörter gibt, und [Mobile Hacker] hat einen cleveren Proof of Concept, bei dem ein winziges Mikrocontroller-Entwicklungsboard verwendet wird, um eine Tastatur zu emulieren, um die 20 häufigsten Entsperrungen zu testen . PIN-Codes auf einem Android-Gerät.
![](https://hackaday.com/wp-content/uploads/2023/07/PIN-Bruteforcing-anim.gif? w= 300)
Das Projekt basiert auf Untersuchungen zur Sicherheit von 4- und 6-stelligen Smartphone-PIN-Codes, bei denen auffällige Ähnlichkeiten zwischen den gewählten Entsperrcodes festgestellt wurden durch den Benutzer. Obwohl die Forschung schon einige Jahre zurückreicht, hat sich das Nutzerverhalten in Bezug auf die PIN-Wahl wahrscheinlich nicht wesentlich verändert.
Die Hardware ist nicht viel mehr als ein Digispark-Board, ein kleines ATtiny85-basiertes Board mit integriertem USB-Anschluss und Adapter. Tatsächlich hat es viele Gemeinsamkeiten mit dem DIY Rubber Ducky, außer dass es sich auf eine Aufgabe konzentriert.
Sobald es mit einem mobilen Gerät verbunden ist, führt es eine Art Tastendruck-Injection-Angriff aus und sendet automatisch Tastendruck-Ereignisse zur Eingabe der gängigsten PIN-Codes mit einer Verzögerung zwischen den einzelnen Versuchen. Vorausgesetzt, dass das Gerät dies akzeptiert, dauert das Ausprobieren aller zwanzig Codes etwa sechs Minuten.
Das Deaktivieren von OTG-Verbindungen für ein Gerät ist eine Möglichkeit, diese Art von Angriffen zu verhindern. Noch besser ist es, keine gemeinsame PIN wie „1111“ oder „1234“ festzulegen. Im unten eingebetteten Video können Sie Brute Force in Aktion sehen.
Bruteforcing-PIN-Schutz einer beliebten App mit $3 ATTINY85 #Arduino
Das Testen aller möglichen PIN-Kombinationen (10.000) würde weniger als eineinhalb Stunden dauern, ohne dass das Konto gesperrt wird. Dies ist möglich, da der PIN-Code ohne biometrische Authentifizierung auf 4 Ziffern beschränkt ist#rubberducky pic.twitter.com/rbu9Tk3S9d
– Mobile Hacker (@androidmalware2), 12. Juli 2023
What's Your Reaction?
![like](https://vidianews.com/assets/img/reactions/like.png)
![dislike](https://vidianews.com/assets/img/reactions/dislike.png)
![love](https://vidianews.com/assets/img/reactions/love.png)
![funny](https://vidianews.com/assets/img/reactions/funny.png)
![angry](https://vidianews.com/assets/img/reactions/angry.png)
![sad](https://vidianews.com/assets/img/reactions/sad.png)
![wow](https://vidianews.com/assets/img/reactions/wow.png)