Smartphone: Handy-Sensoren offenbaren PIN

Article by · 13. April 2017 ·

Britische Sicherheitsforscher haben ein Verfahren, genannt „TouchSignatures“, entwickelt, das es ihnen erlaubt, vierstellige PINs auf einem Smartphone zu ermitteln. Sie erstellten einen JavaScript-Code, mit dem sie Zugriff auf die Sensoren des Smartphones bekommen. Damit können sie Rückschlüsse über die Aktivitäten des Benutzers ziehen, berichtet das Wissenschaftsportal „EurekAlert!“.

Cyberexperten der Newcastle University ist es gelungen, vierstellige PINs mit 70 Prozent Trefferquote vorherzusagen. Die Quote bezieht sich lediglich auf den ersten Versuch; bereits beim fünften Test lag sie bei 100 Prozent. Die Wahrscheinlichkeit, eine solche PIN, mit der viele Handybesitzer ihr Mobilgerät sperren, zufällig richtig einzutippen, liegt bei gerade einmal 0,01 Prozent. Während der User den Code eingibt, nutzen die Forscher dazu lediglich die Daten, die die Bewegungssensoren in Smartphones aufzeichnen.

Einer genauen Analyse unterzogen die Wissenschaftler die Zugriffsrechte von Javascripte auf die Sensordaten unter verschiedenen populäre Browsern bei Android und iOS. Ein Testscript wurde von ihnen daraufhin untersucht, wie Sensordaten mit PIN-Eingaben korrelieren: Ein Tipp rechts oben auf dem Display erzeugt andere Handy-Bewegungen als einer links unten. Diese Bewegungen sind alles andere als leicht zu entschlüsseln. Zudem geben Nutzer Daten völlig unterschiedlich ein, einige mit Daumen, andere mit Zeigefinger, dritte mit mehreren Fingern. Trotzdem gelang es aufgrund der Menge an gesammelten Daten, ein Demo-Script zu schreiben, dass PIN-Eingaben mit hoher Zuverlässigkeit aus den Bewegungsdaten schließt.

Es wäre wie bei einem Puzzle, je mehr Teile man hätte, desto klarer würde das Bild: Jede Aktion, die ein User durchführt, wie Tippen, Gedrückthalten der Taste oder Scrollen, verändert die Ausrichtung eines Smartphones. Wenn man beispielsweise auf den rechten Rand des Bildschirms drückt, gibt das Handy leicht nach und dreht sich etwas zur Seite. Die Bewegungssensoren sind so präzise, dass sie selbst kleinste Bewegungen bemerken und darauf reagieren. Demnach ist auch das Tracking dann genau genug, um auf einer präparierten Seite eine eingegebene PIN verlässlich reproduzieren zu können.

Insgesamt hat das Team, bestehend aus Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti und Feng Hao, 25 verschiedene Sensoren identifiziert, wie Neigungs-, Beschleunigungs-, Ausrichtung-Sensoren, die nun auf den meisten smarten Geräten serienmäßig vorhanden sind und dazu dienen, unterschiedliche Informationen über das Gerät und seinen Benutzer zu geben. Nur eine kleine Anzahl von diesen – wie Kamera und GPS – benötigt die Berechtigung des Benutzers, um auf das Gerät zuzugreifen. Gerade darin sehen Dr. Maryam Mehrnezhad, die federführende Autorin dieser Studie und ihre Kollegen, ein erhebliches Sicherheitsproblem. Sensoren, wie Beschleunigungsmesser, Gyroskop und Rotationssensoren wären folglich nicht geschützt.

Dr. Maryam Mehrnezhad gab bekannt: „Malware kann unbemerkt bei den Sensordaten ‚mithören‘ und sie nutzen, um eine große Menge an sensiblen Informationen zu entdecken.“ Dazu zählen neben der PIN auch Passwörter und Anrufzeiten. Derartige Programme machen sich dabei zunutze, dass unsere Aktivitäten am Smartphone mit systematischen Bewegungsmustern des Gerätes einhergehen. Bei einigen Browsern würde es bereits ausreichen, eine Website mit entsprechendem Malwarecode geöffnet zu haben und in einem anderen Tab das Online-Banking, schon kann jede Info, die man eintippt, „mitgehört“ werden. „Und, noch schlimmer: In einigen Fällen konnte die Malware sogar spionieren, wenn das Smartphone gesperrt ist, solange die Website offen ist.“, so Mehrnezhad.

Alle großen Browseranbieter, einschließlich Google und Apple, wurden von den Forschern über das Problem informiert. Eine vollständige Lösung ist allerdings noch nicht in Sicht: „Es ist eine Balance zwischen Benutzerfreundlichkeit und Sicherheit“, meint Maryam Mehrnezhad, denn einige Sensoren ermöglichen uns im Bereich von Mobile Gaming, Mobile Health und Fitness-Tracking viele spannende und nützliche Anwendungen.

Eine akute Sicherheitsbedrohung ergibt sich in der Praxis dadurch dennoch erst einmal nicht, denn Angreifer müssten den Code per Browser zuerst auf die Geräte der Opfer schleusen. Anschließend müsste der Nutzer dazu bewegt werden, seine PIN im Browser einzugeben. Und selbst wenn Angreifer die PIN eines Geräts kennen, müssen sie erst noch einen Weg finden, das auszunutzen.

Allerdings wäre das Verfahren noch extrem ausbaubar. Es erlaubt mit etwas mehr Trainingsdaten wohl auch das Mitschneiden von Kennwörtern, Überweisungs-TANs und ähnlichem und kann das Verhalten des Nutzers ausspähen, wie schreibt er viel oder liest sie mehr. Zusammen mit anderen Daten lässt sich so ein noch genaueres Persönlichkeitsprofil zusammenstellen als bisher schon. Auch ließe sich herausfinden, welche Webanwendungen ein Nutzer gerade verwendet, schreiben die Forscher in ihrer Studie. Scrollen deute etwa auf die Nutzung einer Nachrichtenseite hin, Tippen auf eine Mail-App. Man könnte anhand der Flächen, auf die ein Nutzer tippt, auch zumindest grobe Rückschlüsse auf verwendete Passwörter ziehen.

Maryam Mehrnezhad bietet zusammen mit ihrem Kollegen Ehsan Toreini den Onlinekurs „Cyber Security: Safety at Home, Online, in Life“ an, denn trotz der Bedrohung zeigt sich ebenso, dass die Menschen sich der Risiken nicht bewusst sind. Das Team gibt zusätzlich noch einige Empfehlungen mit auf den Weg, wie wir uns besser schützen können. So sollten wir PINs und Passwörter häufiger wechseln, Apps und Tabs schließen, die wir nicht brauchen und stets Updates installieren.

Bildquelle: JESHOOTS, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!

3 Comments

  • comment-avatar

    DerSkeptiker

    @Ghandy Kannst du bitte den Post „Der gute alte Kindergarten…“ löschen. Den Text hatte mein Passwortmanager irgendwie mit abgespeichert automatisch das Kommentarfeld ausgefüllt und abgeschickt.

  • comment-avatar

    DerSkeptiker

    Wie wäre es bei der Passworteingabe die Sensoren zu deaktivieren? Das müsste das wohl seitens Google als Sicherheitsfeature eingebaut werden.

  • comment-avatar

    DerSkeptiker

    Der gute alte Kindergarten mal wieder. Wer Kritik äußert fliegt (klingt alles nach den alten Admins der boerse). Fast die komplette Warez Scene ist durchzogen von Leuten mit Gottkomplex. Ich find’s einfach nur lächerlich was die sich einbilden. Wer so mit seinen Usern umspringt, der muss sich nicht wundern, wenn er irgendwann im Mülleimer der Internet-Geschichte landet.


Kommentar verfassen

%d Bloggern gefällt das: