News vom 09.01.2018

Tückische Sensoren

Ein Artikel von , veröffentlicht am 09.01.2018

Durch die Analyse von belanglos wirkenden Smartphone-Sensordaten ist es Forschern gelungen, vierstellige PINs mit einer sehr hohen Wahrscheinlichkeit zu erraten. Das Problem ist: Apps benötigen für den Zugriff auf die meisten Sensordaten keinerlei Berechtigung.

Mit einer Genauigkeit von 83,7 Prozent konnte ein Forscher-Trio in einem Versuchslauf vierstellige PINs auf Android-Smartphones erraten. In dem Testszenario gingen sie von allen 10.000 möglichen Zahlenkombinationen für eine vierstellige PIN und von 20 möglichen Versuchen aus. Verwendeten sie nur die 50 Zahlenkombinationen, die von Nutzern am häufigsten verwendet werden, errieten sie 99,3 Prozent der PINs im ersten Versuch.

Harmlose Sensoren offenbaren sensible Daten

Die drei Wissenschaftler der Hochschule Rhein-Main, des Fraunhofer-Instituts Singapur und der Technische Universität Nanyang in Singapur lasen dazu mit einer eigens programmierten App die Sensordaten der Handys aus, während die Nutzer ihre PIN eingaben. Die Sensoren registrieren kleinste Bewegungsänderungen des Smartphones und erlauben so Rückschlüsse darüber, welche Zahl gerade auf dem Nummernfeld eingetippt wird.

Am aufschlussreichsten war der Beschleunigungssensor, mit dem allein die Forscher auf eine Erfolgsquote von 63 Prozent kamen, gefolgt vom Rotationssensor (28 %) und dem Magnetfeldsensor (20 %). Auf all diese Sensoren können Apps ohne eine besondere Berechtigung zugreifen.

Möglicher Missbrauch von Sensordaten schon länger diskutiert

Die Forscher bedienten sich für ihre Auswertung selbstlernender Algorithmen. Sie halten die Methode auch bei längeren PINs für anwendbar.

Es ist nicht die erste Arbeit dieser Art: Im April 2017 beschrieb ein Team um eine Forscherin der Universität Newcastle, UK, eine ähnliche Attacke auf PINs. Die Forscher nutzten Daten von nur zwei Sensoren und errieten dabei in 74 Prozent aller Versuche die richtige PIN (unter Berücksichtigung der 50 häufigsten Kombinationen). Die Daten lasen sie nicht mit einer App aus, sondern über eine präparierten Webseite, welche die Sensordaten vom Browser abfragte.

Im September erschien eine Studie der US-Universität Princeton, nach der sich auf Basis von Sensorinformationen der Aufenthaltsort von Personen ermitteln lässt. Das ging, ohne dass die eingesetzte Spionage-App auf Ortungssensoren wie GPS zugreifen musste (was berechtigungspflichtig wäre). Die Forscher kombinierten Daten aus Sensoren zur Messung von Beschleunigung oder von Luftdruck mit Verkehrsdaten wie IP-Adressen sowie mit öffentlich verfügbaren Geo-Informationen. Sie testeten die Methode erfolgreich sowohl auf Android- als auch auf iOS-Smartphones.

Sensordaten meist nicht berechtigungspflichtig

In Android-Smartphones sind verschiedenste Sensoren verbaut, die beispielsweise die Nähe des Geräts zum Ohr messen, die Neigung oder Beschleunigung des Geräts oder die Helligkeit der Umgebung. Für den Zugriff darauf benötigen Apps keine Berechtigung und es ist auch nicht möglich, sie zu deaktivieren. Nur bei Kamera, Mikrofon, GPS sowie bei biometrischen Sensoren wird eine Berechtigung abgefragt.

Die Forscher der PIN-Studie schreiben, dass die möglichen Nebenwirkungen des weitgehend berechtigungsfreien Zugriffs auf Sensordaten weit über die Möglichkeit hinausgehen, Passwörter zu erraten. „Mit Leichtigkeit“ könnte man mit dieser Methode Nutzerverhalten, Standortdaten und Ähnliches ausspionieren, so dass die Privatsphäre von Smartphone-Nutzern am Ende völlig infrage gestellt wird.

Auch wir bei mobilsicher.de sehen hier die Anbieter der Betriebssysteme dringend in der Pflicht. Sie sind die einzigen, die das Problem lösen können, indem sie den Zugriff auf die Sensoren besser schützen.

 

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Apps gecheckt: Mental-Health-Apps (Android)

Apps, die wissen, wann es Ihnen schlecht geht, sollten nichts ausplaudern. Deswegen haben wir Mood-Tracker, Krisentagebücher und die App der Telefonseelsorge auf den Prüfstand gestellt. Welche Apps wir empfehlen können, erfahren Sie im Video.

Ansehen
Ratgeber 

Ecosia: Suchen und Bäume pflanzen

Die Suchmaschine Ecosia wird in Berlin entwickelt und setzt auf Umweltschutz. Wer sie nutzt, unterstützt das Pflanzen von Bäumen. In Sachen Datenschutz könnte das Unternehmen aber noch mehr für die Nutzer*innen tun. Die Ecosia-Apps können wir momentan nicht empfehlen.

Mehr
Ratgeber 

SIM-Swapping: Identitätsklau per SIM-Karte

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Mehr
YouTube-Video 

Updates für die Umwelt

Euer Smartphone bekommt keine Updates mehr? Das ist bei Android seit Jahren ein großes Problem. Wer sein Handy lange nutzen will, muss unsichere Software in Kauf nehmen. Warum Apple mit seinen iPhones einen besseren Job macht und was ihr als Android-Nutzer*in tun könnt, erfahrt ihr im Video.

Ansehen