DatenschutzWearables spähen PIN der EC-Karte aus

Eine Smartwatch ist ein nettes Spielzeug, um die eigene Fitness zu messen. Aber Achtung: Das kleine Helferlein erkennt auch unsere PINs und Passwörter.

Wer beispielsweise einen Fitnesstracker am Handgelenk trägt, erfährt wie hoch sein Puls ist und wie viele Schritte er gemacht hat. Joggt er am Ende seiner Runde noch am Bankautomaten vorbei, um Geld abzuheben, sollte er besser die Smartwatch ausziehen. Denn der Bewegungssensor erfasst auch die Tippbewegungen.

Jede Bewegung registriert

Beschleunigungsmesser, Lagesensor oder Gyroskope erfassen selbst feine Bewegungen, denn manche Smartwatches lassen sich auch für die Überwachung des Schlafverhaltens einsetzen. Forscher der Binghamton University im Bundesstaat New York und vom Stevens Institute of Technology in New Jersey haben die Software "Backward PIN-sequence Inference" entwickelt, um herauszufinden, ob man mithilfe der Daten PINs knacken kann. Diese Software haben sie bei 20 Freiwilligen auf die Wearables geladen. Ein Algorithmus hat dann die Bewegungen der Hand erfasst, wie diese beispielsweise eine Nummer eintippt. Nach dem ersten Versuch konnten sie bereits 80 Prozent und nach drei weiteren sogar 90 Prozent der PINs entschlüsseln.

Dieser Embed kann leider nur direkt auf der Webseite von Deutschlandfunk Nova angezeigt werden.

Cyberkriminelle könnten beispielsweise Malware auf die Geräte schleusen oder ein drahtloses "Schnüffelgerät" am Geldautomaten platzieren, dass die Sensordaten des Wearables abfängt, die per Bluetooth an das Handy des Nutzers übertragen werden. Schutz davor gibt es derzeit keinen, Sicherheitsprogramme lassen sich auf den Wearables kaum installieren. Die Hersteller könnten den Sensordaten eine Art Rauschen hinzufügen, so dass die Tippbewegungen nicht mehr genau rekonstruierbar werden, und den Datenaustausch zwischen Wearable und Handy verschlüsseln.

Mehr über das Forschungsergebnis: