Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 09.01.2018

Tückische Sensoren

Ein Artikel von Stefan Mey, veröffentlicht am 09.01.2018

Durch die Analyse von belanglos wirkenden Smartphone-Sensordaten ist es Forschern gelungen, vierstellige PINs mit einer sehr hohen Wahrscheinlichkeit zu erraten. Das Problem ist: Apps benötigen für den Zugriff auf die meisten Sensordaten keinerlei Berechtigung.

Mit einer Genauigkeit von 83,7 Prozent konnte ein Forscher-Trio in einem Versuchslauf vierstellige PINs auf Android-Smartphones erraten. In dem Testszenario gingen sie von allen 10.000 möglichen Zahlenkombinationen für eine vierstellige PIN und von 20 möglichen Versuchen aus. Verwendeten sie nur die 50 Zahlenkombinationen, die von Nutzern am häufigsten verwendet werden, errieten sie 99,3 Prozent der PINs im ersten Versuch.

Harmlose Sensoren offenbaren sensible Daten

Die drei Wissenschaftler der Hochschule Rhein-Main, des Fraunhofer-Instituts Singapur und der Technische Universität Nanyang in Singapur lasen dazu mit einer eigens programmierten App die Sensordaten der Handys aus, während die Nutzer ihre PIN eingaben. Die Sensoren registrieren kleinste Bewegungsänderungen des Smartphones und erlauben so Rückschlüsse darüber, welche Zahl gerade auf dem Nummernfeld eingetippt wird.

Am aufschlussreichsten war der Beschleunigungssensor, mit dem allein die Forscher auf eine Erfolgsquote von 63 Prozent kamen, gefolgt vom Rotationssensor (28 %) und dem Magnetfeldsensor (20 %). Auf all diese Sensoren können Apps ohne eine besondere Berechtigung zugreifen.

Möglicher Missbrauch von Sensordaten schon länger diskutiert

Die Forscher bedienten sich für ihre Auswertung selbstlernender Algorithmen. Sie halten die Methode auch bei längeren PINs für anwendbar.

Es ist nicht die erste Arbeit dieser Art: Im April 2017 beschrieb ein Team um eine Forscherin der Universität Newcastle, UK, eine ähnliche Attacke auf PINs. Die Forscher nutzten Daten von nur zwei Sensoren und errieten dabei in 74 Prozent aller Versuche die richtige PIN (unter Berücksichtigung der 50 häufigsten Kombinationen). Die Daten lasen sie nicht mit einer App aus, sondern über eine präparierten Webseite, welche die Sensordaten vom Browser abfragte.

Im September erschien eine Studie der US-Universität Princeton, nach der sich auf Basis von Sensorinformationen der Aufenthaltsort von Personen ermitteln lässt. Das ging, ohne dass die eingesetzte Spionage-App auf Ortungssensoren wie GPS zugreifen musste (was berechtigungspflichtig wäre). Die Forscher kombinierten Daten aus Sensoren zur Messung von Beschleunigung oder von Luftdruck mit Verkehrsdaten wie IP-Adressen sowie mit öffentlich verfügbaren Geo-Informationen. Sie testeten die Methode erfolgreich sowohl auf Android- als auch auf iOS-Smartphones.

Sensordaten meist nicht berechtigungspflichtig

In Android-Smartphones sind verschiedenste Sensoren verbaut, die beispielsweise die Nähe des Geräts zum Ohr messen, die Neigung oder Beschleunigung des Geräts oder die Helligkeit der Umgebung. Für den Zugriff darauf benötigen Apps keine Berechtigung und es ist auch nicht möglich, sie zu deaktivieren. Nur bei Kamera, Mikrofon, GPS sowie bei biometrischen Sensoren wird eine Berechtigung abgefragt.

Die Forscher der PIN-Studie schreiben, dass die möglichen Nebenwirkungen des weitgehend berechtigungsfreien Zugriffs auf Sensordaten weit über die Möglichkeit hinausgehen, Passwörter zu erraten. „Mit Leichtigkeit“ könnte man mit dieser Methode Nutzerverhalten, Standortdaten und Ähnliches ausspionieren, so dass die Privatsphäre von Smartphone-Nutzern am Ende völlig infrage gestellt wird.

Auch wir bei mobilsicher.de sehen hier die Anbieter der Betriebssysteme dringend in der Pflicht. Sie sind die einzigen, die das Problem lösen können, indem sie den Zugriff auf die Sensoren besser schützen.

 

Weitere Artikel

Ratgeber 

Was Sie über PayPal wissen sollten

Mit PayPal kann man in Apps und auf Webseiten bezahlen. Das ist bequem und die eigenen Bankdaten werden nicht an Händler weitergegeben. Allerdings erhebt der Dienst viele Daten rund um das Bezahlverhalten seiner Nutzer*innen und teilt sie mit Dritten.

Mehr
Ratgeber 

Google Pay: Was Sie über den Bezahldienst wissen sollten

Mit der App Google Pay kann man in Apps und an der Kasse bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Anderen.

Mehr
Ratgeber 

Bildschirmsperre – was ist das?

Im besten Fall wird sie hingenommen, im schlimmsten deaktiviert: Die Bildschirmsperre nervt. Doch ein Mobilgerät ohne Bildschirmsperre ist wie ein Haus mit ausgehängter Haustür. Fast alle anderen Sicherheitsvorkehrungen sind ohne sie wertlos.

Mehr
Hintergrund 

Greenwashing-Check: Die Apple Watch und das Klima

Apple präsentiert sich gerne als grüner Handybauer. Wir schauen uns die Details in einer Serie an. Etwa die Klimabilanz der Watch.

Mehr