Smartphone-Spionage: PIN-Klau mit dem Bewegungssensor
Wer den Benutzer eines Smartphones ausspionieren will, muss dazu nicht unbedingt Kontrolle über die klassischen Angriffsziele wie Kamera oder Tastatur gewinnen. Manchmal genügt ein Sensor, der nur indirekt Auskunft gibt, wie zum Beispiel der Bewegungssensor: Denn wer auf seinem Telefon etwas eintippt, schüttelt sein Gerät auf eine verräterische Art und Weise durch. Das erlaubt dem Angreifer zu erkennen, wo der Benutzer auf der Oberfläche tippt, zieht oder scrollt – und damit, welche Tastatureingaben gemacht werden.
Vor dieser Sicherheitslücke moderner Smartphones warnen nun Informatiker der Newcastle University. Bei ihren eigenen Tests gelang es ihnen, vierstellige PIN-Nummern beim ersten Versuch mit 70-prozentiger Genauigkeit zu erraten. Bereits nach dem fünften Rateversuch lag die Trefferquote des Teams um Maryam Mehrnezhad sogar bei 100 Prozent. Die Wissenschaftler lasen dazu ausschließlich den Bewegungssensor des Handys aus. Allerdings muss der Angreifer wissen, wie die Website aussieht, auf der der ausspionierte Benutzer die gesuchte Eingabe macht.
In ihrem Artikel im "International Journal of Information Security" kritisieren sie, dass der Zugriff auf solche sekundären Sensoren von vielen Browsern oder Betriebssystemen kaum eingeschränkt werde. Die Schadsoftware könnte beispielsweise auf Webseiten versteckt werden und von dort aus unbemerkt auf die Daten des Bewegungssensors zugreifen. In ungünstigen Fällen genüge es, wenn der Benutzer die spionierende App dann unvollständig schließt oder als Browser-Tab im Hintergrund laufen lässt. Öffnet er anschließend beispielsweise eine Onlinebanking-Software, kann der Hacker die Tastatureingaben mitschneiden.
Würden Softwareentwickler künftig nicht nur den Zugriff auf Kamera, Tastatur oder GPS blockieren, sondern auch auf die über 20 vermeintlich unkritischen Sensoren eines modernen Smartphones, hätte dies deutliche Einbußen bei der Bedienerfreundlichkeit zur Folge. Auf lange Sicht sei es darum wichtig, dass Anwender sich der Risiken und möglichen Angriffswege bewusst würden, meinen die Forscher. Zum Ausspähen eigneten sich im Übrigen keineswegs nur Smartphones, sondern ebenso andere sensorbestückte Geräte wie etwa Fitnesstracker. Werden sie am Handgelenk getragen, verraten auch sie, welche Eingaben der Träger gerade macht.
Schreiben Sie uns!
Beitrag schreiben