News vom 09.01.2018

Tückische Sensoren

Ein Artikel von , veröffentlicht am 09.01.2018

Durch die Analyse von belanglos wirkenden Smartphone-Sensordaten ist es Forschern gelungen, vierstellige PINs mit einer sehr hohen Wahrscheinlichkeit zu erraten. Das Problem ist: Apps benötigen für den Zugriff auf die meisten Sensordaten keinerlei Berechtigung.

Mit einer Genauigkeit von 83,7 Prozent konnte ein Forscher-Trio in einem Versuchslauf vierstellige PINs auf Android-Smartphones erraten. In dem Testszenario gingen sie von allen 10.000 möglichen Zahlenkombinationen für eine vierstellige PIN und von 20 möglichen Versuchen aus. Verwendeten sie nur die 50 Zahlenkombinationen, die von Nutzern am häufigsten verwendet werden, errieten sie 99,3 Prozent der PINs im ersten Versuch.

Harmlose Sensoren offenbaren sensible Daten

Die drei Wissenschaftler der Hochschule Rhein-Main, des Fraunhofer-Instituts Singapur und der Technische Universität Nanyang in Singapur lasen dazu mit einer eigens programmierten App die Sensordaten der Handys aus, während die Nutzer ihre PIN eingaben. Die Sensoren registrieren kleinste Bewegungsänderungen des Smartphones und erlauben so Rückschlüsse darüber, welche Zahl gerade auf dem Nummernfeld eingetippt wird.

Am aufschlussreichsten war der Beschleunigungssensor, mit dem allein die Forscher auf eine Erfolgsquote von 63 Prozent kamen, gefolgt vom Rotationssensor (28 %) und dem Magnetfeldsensor (20 %). Auf all diese Sensoren können Apps ohne eine besondere Berechtigung zugreifen.

Möglicher Missbrauch von Sensordaten schon länger diskutiert

Die Forscher bedienten sich für ihre Auswertung selbstlernender Algorithmen. Sie halten die Methode auch bei längeren PINs für anwendbar.

Es ist nicht die erste Arbeit dieser Art: Im April 2017 beschrieb ein Team um eine Forscherin der Universität Newcastle, UK, eine ähnliche Attacke auf PINs. Die Forscher nutzten Daten von nur zwei Sensoren und errieten dabei in 74 Prozent aller Versuche die richtige PIN (unter Berücksichtigung der 50 häufigsten Kombinationen). Die Daten lasen sie nicht mit einer App aus, sondern über eine präparierten Webseite, welche die Sensordaten vom Browser abfragte.

Im September erschien eine Studie der US-Universität Princeton, nach der sich auf Basis von Sensorinformationen der Aufenthaltsort von Personen ermitteln lässt. Das ging, ohne dass die eingesetzte Spionage-App auf Ortungssensoren wie GPS zugreifen musste (was berechtigungspflichtig wäre). Die Forscher kombinierten Daten aus Sensoren zur Messung von Beschleunigung oder von Luftdruck mit Verkehrsdaten wie IP-Adressen sowie mit öffentlich verfügbaren Geo-Informationen. Sie testeten die Methode erfolgreich sowohl auf Android- als auch auf iOS-Smartphones.

Sensordaten meist nicht berechtigungspflichtig

In Android-Smartphones sind verschiedenste Sensoren verbaut, die beispielsweise die Nähe des Geräts zum Ohr messen, die Neigung oder Beschleunigung des Geräts oder die Helligkeit der Umgebung. Für den Zugriff darauf benötigen Apps keine Berechtigung und es ist auch nicht möglich, sie zu deaktivieren. Nur bei Kamera, Mikrofon, GPS sowie bei biometrischen Sensoren wird eine Berechtigung abgefragt.

Die Forscher der PIN-Studie schreiben, dass die möglichen Nebenwirkungen des weitgehend berechtigungsfreien Zugriffs auf Sensordaten weit über die Möglichkeit hinausgehen, Passwörter zu erraten. „Mit Leichtigkeit“ könnte man mit dieser Methode Nutzerverhalten, Standortdaten und Ähnliches ausspionieren, so dass die Privatsphäre von Smartphone-Nutzern am Ende völlig infrage gestellt wird.

Auch wir bei mobilsicher.de sehen hier die Anbieter der Betriebssysteme dringend in der Pflicht. Sie sind die einzigen, die das Problem lösen können, indem sie den Zugriff auf die Sensoren besser schützen.

 

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Standortbestimmung komplett abschalten – so geht’s (Android)

Wo Ihr Android-Handy sich gerade befindet, können Apps und Google auf verschiedene Arten ermitteln. Wenn Sie per GPS und übers Internet nicht geortet werden möchten, müssen Sie im Gerät insgesamt vier Einstellungen deaktivieren.

Ansehen
Ratgeber 

Google admits it collects telephony log information, doesn’t specify which exactly

Google has conceded that it indeed saves phone data from Android users using Google apps and services. Google did not specify when exactly and to what extend this happens, leaving important questions unanswered.

Mehr
Betrug und Phishing 

Messenger-Spam mit Link: „Bist du das?“

Diese Variante des Phishing-Betrugs setzt auf Neugier: Eine Nachricht mit den Worten "Bist du das?" und einem Video-Link versucht, Sie auf eine gefälschte Webseite zu locken. Die Nachricht kommt von einem Ihrer Kontakte, dessen Konto vorher gekapert wurde.

Mehr
Ratgeber 

Anleitung: K-9 Mail mit OpenKeyChain nutzen

Die von uns empfohlenen Mail-Apps K-9 und FairEmail bringen selbst keine Funktion zur Ende-zu-Ende-Verschlüsselung mit. Wenn Sie E-Mails verschlüsseln möchten, müssen Sie zusätzlich die App OpenKeyChain einrichten. Wir zeigen am Beispiel von K-9 Schritt für Schritt, wie es geht.

Mehr