Wenn Bewegungssensoren spionieren

https://blog.wdr.de/digitalistan/wenn-bewegungssensoren-spionieren/

Wenn Bewegungssensoren spionieren

Kommentare zum Artikel: 2

Kein Tag vergeht, an dem wir nicht von irgendwelchen neuen Methoden hören, wie Hacker uns ausspionieren können. Das macht was mit uns: Wir werden immer vorsichtiger, denken, dass wir ständig ausspioniert werden. Ein Unsicherheitsgefühl, das misstrauisch und krank macht. Leider habe ich keine guten Nachrichten: Forscher haben eine weitere potenzielle Methode entdeckt, wie wir ausspioniert werden können – und zwar bei der Eingabe von PIN-Codes oder Passwörtern auf dem Smartphone.

PIN-Eingabe auf dem Smartphone: Bewegungssenroren lesen mit

Miniprogramm befragt Bewegungssensoren

Wissenschaftler der Universität Newscastle haben eine Methode entwickelt, die es erlaubt, Eingaben auf dem Touchscreen eines Smartphones mit Hilfe der Bewegungssensoren auszukundschaften, die normalerweise dazu da sind, Spiele oder Apps zu steuern oder die Blickrichtung zu ermitteln.. Die Forscher haben festgestellt, dass sich unser Smartphone bewegt, wenn wir darauf tippen, wenn wir scrollen, wischen oder eben einen PIN-Code eingeben. Es bewegt sich minimal, aber es reicht, um die Bewegungssensoren zu aktivieren.

Die Sensoren stellen fest, ob sich das Handy nach rechts neigt, etwa wenn man die „6“ antippt, oder nach links bei der „4“. Oder nach links oben bei der „1“. Unglaublich: Die Methode ist präzise genug, um rund 70% aller PIN-Eingaben schon beim ersten Mal richtig zu entschlüsseln. Bei den restlichen PIN-Eingaben reichen vier weitere Versuche, um auf den richtigen PIN zu kommen. Also eine erstaunlich verlässliche Art, die Eingabe auf einem Touchscreen unbemerkt zu ermitteln.

JavaScript-Code fragt Sensoren ab

Dazu muss natürlich der entsprechende Programmcode auf das Handy, das ausspioniert werden soll. Aber das ist eine lösbare Aufgabe, vor allem auf Android-Geräten. Die Forscher haben JavaScript-Code entwickelt, also Programmcode, der auf jedem Smartphone im Browser ausgeführt werden kann – unbemerkt. Einen Namen gibt es auch schon dafür: TouchSignature. Weil man damit ohne weiteres ein Profil der Art der Benutzung erstellen kann. Außerdem könnten Daten gesammelt werden, auch Passworteingaben, wenn man die virtuelle Tastatur benutzt.

Die PIN-Eingabe beim Start des Handys abzufragen, wird schwierig, weil da normalerweise keine Software läuft. Aber auch diese Herausforderung lässt sich sicher meistern. In jedem Fall könnten aber entsprechend manipulierte Webseiten Passwörter abfragen oder den Benutzer zur Eingabe des PIN auffordern und die Eingabe so indirekt ausschnüffeln. Denkbar sind aber auch andere Einsatzmöglichkeiten.

Hacker nutzen jedes Datenleck aus

TouchSignature und die möglichen Folgen

Zum Beispiel könnte die Werbeindustrie ermitteln, auf welche Stellen des Bildschirms der Benutzer klickt, welche Werbebanner angeklickt werden, wann gescrollt wird und vieles andere mehr. Auch welche Web-App gerade benutzt wird, lässt sich aufgrund des Verhaltens ermitteln. Eigentlich Informationen, die den Betreibern der Webseiten oder Werbenetzwerke gar nicht zur Verfügung stehen. Man kann mit davon ausgehen, dass diese Methode genutzt wird.

Wichtig zu wissen: Die Bewegungssensoren können nur dann zuverlässig etwas registrieren, wenn wir das Smartphone in der Hand halten bei der PIN-Eingabe. Liegt es hingegen auf einem festen Untergrund, kann es sich bei der PIN-Eingabe nicht relevant bewegen – und die Bewegungssensoren bekommen nichts mit. Die PIN-Spionage funktioniert also nur, wenn wir das Smartphone nicht auf dem Tisch liegen haben.

Derzeit noch keine Bedrohung

Unwahrscheinlich, dass der Trick bereits genutzt wird. Die Forscher haben nicht nur die Öffentlichkeit informiert, sondern auch die Browser-Hersteller Google, Apple, Opera und Mozilla, ebenso das WorldWideWeb Konsortium.  Man will verhindern, dass andere mit diesen Methoden Unsinn anstellen und setzt alles daran, auf die möglichen Sicherheitslücken hinzuweisen. Das ist gelungen. Es ist eher unwahrscheinlich, aber eben auch nicht undenkbar, dass Kriminelle oder Geheimdienste diese Methode nutzen.

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung „Angeklickt“ in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

2 Kommentare

  1. SUCHTFREI_UND_UNABHÄNGIG am

    „Forscher haben eine weitere potenzielle Methode entdeckt, wie wir ausspioniert werden können – und zwar bei der Eingabe von PIN-Codes oder Passwörtern auf dem Smartphone.“:
    Was das angeht, habe ich nichts zu befürchten:
    Ich habe kein Smartphone und will und werde auch ganz bewußt nie eines haben.
    Daß ungeachtet der mittlerweile von vielen seriösen AutorInnen wie nicht zuletzt von Jörg Schieb im o.a Artikel öffentlich gemachten immensen GEFAHREN dieser Apparate , also
    – SUCHTGEFAHR
    – ÜBERWACHUNGS- UND TOTALKONTROLLE-GEFAHR
    – VERBLÖDUNGSGEFAHR
    – REGRESSIONSGEFAHR ( = „Alles-überall-jederzeit-sofort-haben-wollen“ ist nichts anderes als die Haltung eines Säuglings)
    nach wie vor die Menschen unbelehrbar an den ihnen von den interessierten Internetkonzernen wie den asozialen Netzwerken eingeblasenen Märchen festhalten, „ohne Smartphone sei alles nichts“, „man braucht es doch“, „ohne geht ja heute nichts mehr“ – DAS zeigt doch, daß die SUCHTGEFAHR sich genau so weit verbreitet realisiert hat wie ganz offensichtlich die VERBLÖDUNGSGEFAHR….. :-(((
    Dabei gibt es ein nun wirklich ganz einfaches Mittel, der von Schieb hier aufgezeigten Gefahr, ausspioniert und überwacht zu werden, von vornherein zu entgehen:
    SMARTPHONE-ABSTINENZ!
    Sie werden merken: Clean lebt es sich besser! :-)

    • P. Gedoehns am

      Einerseits wird der Überwachungs- und Datensammelwahn und andererseits die Smartphonesucht immer schlimmer. Natürlich müssen die „Konsumenten“ mit sicherlich teilweise auch nützlichen oder spaßigen Spielereien zunächst süchtig gemacht werden, damit sie anschließend die damit verbundenen Gefahren ausblenden und ohne ihr Smartphone kaum noch lebensfähig sind.
      Ich sehe Parallelen mit der Wirkung eines Joints und der daraus resultierenden Suchtgefahr, auch wenn ich persönlich keine Erfahrung damit habe.
      Beruhigend fand ich, was ich in den letzten Tagen von zwei Arbeitskollegen, beide Anfang 20, gehört habe. Der eine hat sein Handy vor seinem Urlaub vergessen und ist noch kerngesund :) und der andere fühlt sich durch diese ständige Nachrichtenflut genervt und hinterfragt mittlerweile die Gründe für diese übermäßige Digitalisierung. Letzerer denkt schon über die Deaktivierung von Whatsapp nach und auch über die Argumente gegenüber seiner Freunde.
      Ich denke, dass könnte der gaaaaanz langsame Beginn einer Gegenreaktion sein, welche meist auf Übertreibungen aller Art folgt.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top