News vom 09.01.2018

Tückische Sensoren

Ein Artikel von , veröffentlicht am 09.01.2018

Durch die Analyse von belanglos wirkenden Smartphone-Sensordaten ist es Forschern gelungen, vierstellige PINs mit einer sehr hohen Wahrscheinlichkeit zu erraten. Das Problem ist: Apps benötigen für den Zugriff auf die meisten Sensordaten keinerlei Berechtigung.

Mit einer Genauigkeit von 83,7 Prozent konnte ein Forscher-Trio in einem Versuchslauf vierstellige PINs auf Android-Smartphones erraten. In dem Testszenario gingen sie von allen 10.000 möglichen Zahlenkombinationen für eine vierstellige PIN und von 20 möglichen Versuchen aus. Verwendeten sie nur die 50 Zahlenkombinationen, die von Nutzern am häufigsten verwendet werden, errieten sie 99,3 Prozent der PINs im ersten Versuch.

Harmlose Sensoren offenbaren sensible Daten

Die drei Wissenschaftler der Hochschule Rhein-Main, des Fraunhofer-Instituts Singapur und der Technische Universität Nanyang in Singapur lasen dazu mit einer eigens programmierten App die Sensordaten der Handys aus, während die Nutzer ihre PIN eingaben. Die Sensoren registrieren kleinste Bewegungsänderungen des Smartphones und erlauben so Rückschlüsse darüber, welche Zahl gerade auf dem Nummernfeld eingetippt wird.

Am aufschlussreichsten war der Beschleunigungssensor, mit dem allein die Forscher auf eine Erfolgsquote von 63 Prozent kamen, gefolgt vom Rotationssensor (28 %) und dem Magnetfeldsensor (20 %). Auf all diese Sensoren können Apps ohne eine besondere Berechtigung zugreifen.

Möglicher Missbrauch von Sensordaten schon länger diskutiert

Die Forscher bedienten sich für ihre Auswertung selbstlernender Algorithmen. Sie halten die Methode auch bei längeren PINs für anwendbar.

Es ist nicht die erste Arbeit dieser Art: Im April 2017 beschrieb ein Team um eine Forscherin der Universität Newcastle, UK, eine ähnliche Attacke auf PINs. Die Forscher nutzten Daten von nur zwei Sensoren und errieten dabei in 74 Prozent aller Versuche die richtige PIN (unter Berücksichtigung der 50 häufigsten Kombinationen). Die Daten lasen sie nicht mit einer App aus, sondern über eine präparierten Webseite, welche die Sensordaten vom Browser abfragte.

Im September erschien eine Studie der US-Universität Princeton, nach der sich auf Basis von Sensorinformationen der Aufenthaltsort von Personen ermitteln lässt. Das ging, ohne dass die eingesetzte Spionage-App auf Ortungssensoren wie GPS zugreifen musste (was berechtigungspflichtig wäre). Die Forscher kombinierten Daten aus Sensoren zur Messung von Beschleunigung oder von Luftdruck mit Verkehrsdaten wie IP-Adressen sowie mit öffentlich verfügbaren Geo-Informationen. Sie testeten die Methode erfolgreich sowohl auf Android- als auch auf iOS-Smartphones.

Sensordaten meist nicht berechtigungspflichtig

In Android-Smartphones sind verschiedenste Sensoren verbaut, die beispielsweise die Nähe des Geräts zum Ohr messen, die Neigung oder Beschleunigung des Geräts oder die Helligkeit der Umgebung. Für den Zugriff darauf benötigen Apps keine Berechtigung und es ist auch nicht möglich, sie zu deaktivieren. Nur bei Kamera, Mikrofon, GPS sowie bei biometrischen Sensoren wird eine Berechtigung abgefragt.

Die Forscher der PIN-Studie schreiben, dass die möglichen Nebenwirkungen des weitgehend berechtigungsfreien Zugriffs auf Sensordaten weit über die Möglichkeit hinausgehen, Passwörter zu erraten. „Mit Leichtigkeit“ könnte man mit dieser Methode Nutzerverhalten, Standortdaten und Ähnliches ausspionieren, so dass die Privatsphäre von Smartphone-Nutzern am Ende völlig infrage gestellt wird.

Auch wir bei mobilsicher.de sehen hier die Anbieter der Betriebssysteme dringend in der Pflicht. Sie sind die einzigen, die das Problem lösen können, indem sie den Zugriff auf die Sensoren besser schützen.

 

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Bezahldienst PayPal: Pro und Contra

Der Bezahldienst PayPal erspart Ihnen das Einrichten von Zahlungswegen in unterschiedlichen Online-Shops. Allerdings erhält der Dienstleister dabei auch sehr viele Informationen über Sie. Unser Video bietet eine kurze Pro-und-Contra-Liste als Entscheidungshilfe.

Ansehen
Ratgeber 

Zugang zum Apple-Universum: Tipps rund um die Apple-ID

Mit der Apple-ID können sich iOS-Nutzer für zahlreiche Apple-Dienste anmelden: iTunes, App-Store, iCloud – das alles funktioniert mit diesem zentralen Zugang. Es gibt verschiedene Möglichkeiten und Funktionen, um diesen Zugang zu sichern. Hier erklären wir die wichtigsten, und wann sich welche Maßnahme eignet.

Mehr
YouTube-Video 

Jahresrückblick: 10 Lieblings-Apps

2021 ist bald vorbei – zum Jahresabschluss gibt’s unsere zehn liebsten App-Fundstücke des Jahres.

Ansehen
Ratgeber 

Diese alternativen Social-Media-Apps empfehlen wir

Facebook, Instagram und YouTube saugen den Akku leer und lesen viele Informationen aus. Wenn Sie die Netzwerke auf dem Handy nutzen, empfehlen wir stattdessen so genannte Wrapper. Sie sammeln nur notwendige Daten.

Mehr