Der Bewegungssensor eurer Smartphones kann zum echten Problem werden - und zwar dann, wenn er eure Bewegungen weitergibt, die ihr macht, wenn ihr eure Geheimzahl eintippt. Britische Forscher haben jetzt erneut auf das Problem aufmerksam gemacht.
Viele von uns brauchen keinen Computer mehr und kommen bestens mit Tablet und Smartphone aus - und machen darüber dann alles im Netz: Online-Banking, alle möglichen Accounts aufrufen, Passwörter eingeben. Es gibt allerdings einen kleinen Haken, und der heißt Bewegungssensor. Der steckt in den Mobilgeräten drin und ist sehr feinfühlig – so feinfühlig, dass er alle eure Bewegungen mitbekommt – auch, wie ihr gerade die PIN fürs Konto eingebt.
Auf die Sensor-Daten unerlaubt zugreifen, ist ziemlich leicht, sagt ein Forscher-Team rund um Maryam Mehrnezhad von der Newcastle University – und hat jetzt gerade einen großen Artikel in der Fachzeitung "International Journal of Information Security" veröffentlicht.
"Die Mobilgeräte - Android hat da das größere Problem als iOS - gehen relativ lax um mit der Frage, ob sie die Daten der Bewegungssensoren rausrücken."
Wenn ihr euch eine App installiert, die nebenbei auch noch den Bewegungssensor auswertet und die Daten dann heimlich übers Netz raussendet, dann kann die alles auswerten, was ihr auf dem Gerät eingebt. Dieses Problem-Szenario ist schon lange bekannt, hat die Autorin der Studie uns per Mail bestätigt.
"Die Forscher haben eine Software programmiert: Eine vierstellige PIN bekommt die, wenn ich fünfmal auf meine Konto zugegriffen habe, mit 99-prozentiger Trefferquote raus."
Sich so eine App zu installieren, ist relativ schnell passiert. Direkt auf die Eingabe-Schnittstelle zuzugreifen, fällt der Malware aus programmiertechnischen Gründen schwer: Der Angreifer hat also nicht auf jedes Modul beliebig Zugriff. Die Methode mit dem Bewegungssensor funktioniert auch mit Geräten, bei denen man an gar nichts Böses denkt - zum Beispiel bei Fitness-Armbändern.
Zweites Szenario: böswillige Website
Blöderweise kann das Problem auch auf eurem Smartphone landen, ohne dass ihr eine Malware-App installiert habt: Wenn ihr mit eurem Smartphone eine bösartige Website besucht, bewusst oder unbewusst.
"Davor gibt es überhaupt keinen Schutz: Entweder ich lande da zufällig oder durch einen verlockenden Link - oder so ein Programmcode kann auch in Werbebannern versteckt sein."
Der Effekt ist dann wieder der gleiche: Die Sensoren plaudern fröhlich meine Bewegungen aus, PINs oder Passwörter.
Was kann man dagegen machen?
Die Forscher sind seit langem im Gespräch mit den wichtigsten Browser-Herstellern - und die haben auch schon etwas angepasst in der Software: Wenn die Sensoren nämlich mit einer geringeren Abtastrate ausgelesen werden, dann klappt der Angriff nicht mehr. Der Witz ist aber eben: Für bestimmte Anwendungen will man die Sensoren ja auslesen, auch übers Netz - es ist also immer eine Abwägung zwischen Feature und Sicherheitsrisiko.
- Stealing PINs via Mobile Sensors: Actual Risk versus User Perception | arxiv.org
- Stealing Pins via mobile sensors: actual risk versus userperception (pdf) | secuso.org
- Tippbewegungen analysiert: Smartwatch-Sensoren verraten Passwörter | heise.de
- Bewegungssensor: PIN rausfinden leicht gemacht | android-hilfe.de
- TapLogger: Inferring User Inputs On SmartphoneTouchscreens Using On-board Motion Sensors (pdf) | cse.psu.edu