Direkt zum Inhalt

Smartphone-Spionage: PIN-Klau mit dem Bewegungssensor

Hacker brauchen nicht einmal Zugriff auf Tastatur oder Kamera: Wer heimlich den Bewegungssensor mitliest, erfährt so einiges - zum Beispiel, welche PINs der Benutzer tippt.
Mann mit SmartphoneLaden...

Wer den Benutzer eines Smartphones ausspionieren will, muss dazu nicht unbedingt Kontrolle über die klassischen Angriffsziele wie Kamera oder Tastatur gewinnen. Manchmal genügt ein Sensor, der nur indirekt Auskunft gibt, wie zum Beispiel der Bewegungssensor: Denn wer auf seinem Telefon etwas eintippt, schüttelt sein Gerät auf eine verräterische Art und Weise durch. Das erlaubt dem Angreifer zu erkennen, wo der Benutzer auf der Oberfläche tippt, zieht oder scrollt – und damit, welche Tastatureingaben gemacht werden.

Vor dieser Sicherheitslücke moderner Smartphones warnen nun Informatiker der Newcastle University. Bei ihren eigenen Tests gelang es ihnen, vierstellige PIN-Nummern beim ersten Versuch mit 70-prozentiger Genauigkeit zu erraten. Bereits nach dem fünften Rateversuch lag die Trefferquote des Teams um Maryam Mehrnezhad sogar bei 100 Prozent. Die Wissenschaftler lasen dazu ausschließlich den Bewegungssensor des Handys aus. Allerdings muss der Angreifer wissen, wie die Website aussieht, auf der der ausspionierte Benutzer die gesuchte Eingabe macht.

In ihrem Artikel im "International Journal of Information Security" kritisieren sie, dass der Zugriff auf solche sekundären Sensoren von vielen Browsern oder Betriebssystemen kaum eingeschränkt werde. Die Schadsoftware könnte beispielsweise auf Webseiten versteckt werden und von dort aus unbemerkt auf die Daten des Bewegungssensors zugreifen. In ungünstigen Fällen genüge es, wenn der Benutzer die spionierende App dann unvollständig schließt oder als Browser-Tab im Hintergrund laufen lässt. Öffnet er anschließend beispielsweise eine Onlinebanking-Software, kann der Hacker die Tastatureingaben mitschneiden.

Würden Softwareentwickler künftig nicht nur den Zugriff auf Kamera, Tastatur oder GPS blockieren, sondern auch auf die über 20 vermeintlich unkritischen Sensoren eines modernen Smartphones, hätte dies deutliche Einbußen bei der Bedienerfreundlichkeit zur Folge. Auf lange Sicht sei es darum wichtig, dass Anwender sich der Risiken und möglichen Angriffswege bewusst würden, meinen die Forscher. Zum Ausspähen eigneten sich im Übrigen keineswegs nur Smartphones, sondern ebenso andere sensorbestückte Geräte wie etwa Fitnesstracker. Werden sie am Handgelenk getragen, verraten auch sie, welche Eingaben der Träger gerade macht.

Lesermeinung

Beitrag schreiben

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Leserzuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Leserzuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmer sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Lesermeinungen können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!

Partnerinhalte