Une équipe de chercheurs en sécurité a mis au point un cheval de Troie pour Android baptisé TapLogger capable de discerner le code de verrouillage d'écran d'un utilisateur. Il se sert de l'accéléromètre de bord pour détecter de petites variations qui résultent des pressions sur l'écran tactile.
TapLogger a été développé par Zhi Xu et Zhu Sencun de la Pennsylvania State University, en collaboration avec Jun Bai du Centre Watson Research d' IBM à New York. Ceux-ci ont basé leur ''POC'' sur Android à cause de sa popularité mais il est possible de faire la même chose pour iOS et BlackBerry car ces systèmes n'exigent pas plus qu'Android de permission particulière pour accéder à l'accéléromètre et aux senseurs d'orientation visés par ce type d'attaque.
Dans la main d'un utilisateur, les smartphones font de petits déplacements lorsque une partie de l'écran est touchée. TapLogger fait la relation entre les différents mouvements et les chiffres du mot de passe lorsqu'ils sont pressés sur l'écran. Il peut ainsi reconnaître les mots de passe de quatre à huit chiffres.
![Image IPB](http://images.imagehotel.net/k064oakaeo.png)
TapLogger est capable de fonctionner en arrière-plan et de transmettre les mots de passe à un attaquant. Il peut aussi enregistrer les numéros d'appels téléphoniques saisis et, potentiellement, les détails de toute carte de crédit utilisée pour un paiement effectué depuis le smartphone.
Ceci en fait une adaptation particulièrement intéressante de ce qu'est un ''keylogger'' pour un ordinateur.
@+
TapLogger: Inferring User Inputs On Smartphone Touchscreens (.pdf)
TapLogger Android app can read your password based on motion sensor data
Proof-of-concept Android Trojan App Analyzes Motion Sensor Data to Determine Tapped Keys