Mit einer Genauigkeit von 83,7 Prozent konnte ein Forscher-Trio in einem Versuchslauf vierstellige PINs auf Android-Smartphones erraten. In dem Testszenario gingen sie von allen 10.000 möglichen Zahlenkombinationen für eine vierstellige PIN und von 20 möglichen Versuchen aus. Verwendeten sie nur die 50 Zahlenkombinationen, die von Nutzern am häufigsten verwendet werden, errieten sie 99,3 Prozent der PINs im ersten Versuch.

Harmlose Sensoren offenbaren sensible Daten

Die drei Wissenschaftler der Hochschule Rhein-Main, des Fraunhofer-Instituts Singapur und der Technische Universität Nanyang in Singapur lasen dazu mit einer eigens programmierten App die Sensordaten der Handys aus, während die Nutzer ihre PIN eingaben. Die Sensoren registrieren kleinste Bewegungsänderungen des Smartphones und erlauben so Rückschlüsse darüber, welche Zahl gerade auf dem Nummernfeld eingetippt wird.

Am aufschlussreichsten war der Beschleunigungssensor, mit dem allein die Forscher auf eine Erfolgsquote von 63 Prozent kamen, gefolgt vom Rotationssensor (28 %) und dem Magnetfeldsensor (20 %). Auf all diese Sensoren können Apps ohne eine besondere Berechtigung zugreifen.

Möglicher Missbrauch von Sensordaten schon länger diskutiert

Die Forscher bedienten sich für ihre Auswertung selbstlernender Algorithmen. Sie halten die Methode auch bei längeren PINs für anwendbar.

Es ist nicht die erste Arbeit dieser Art: Im April 2017 beschrieb ein Team um eine Forscherin der Universität Newcastle, UK, eine ähnliche Attacke auf PINs. Die Forscher nutzten Daten von nur zwei Sensoren und errieten dabei in 74 Prozent aller Versuche die richtige PIN (unter Berücksichtigung der 50 häufigsten Kombinationen). Die Daten lasen sie nicht mit einer App aus, sondern über eine präparierten Webseite, welche die Sensordaten vom Browser abfragte.

Im September erschien eine Studie der US-Universität Princeton, nach der sich auf Basis von Sensorinformationen der Aufenthaltsort von Personen ermitteln lässt. Das ging, ohne dass die eingesetzte Spionage-App auf Ortungssensoren wie GPS zugreifen musste (was berechtigungspflichtig wäre). Die Forscher kombinierten Daten aus Sensoren zur Messung von Beschleunigung oder von Luftdruck mit Verkehrsdaten wie IP-Adressen sowie mit öffentlich verfügbaren Geo-Informationen. Sie testeten die Methode erfolgreich sowohl auf Android- als auch auf iOS-Smartphones.

Sensordaten meist nicht berechtigungspflichtig

In Android-Smartphones sind verschiedenste Sensoren verbaut, die beispielsweise die Nähe des Geräts zum Ohr messen, die Neigung oder Beschleunigung des Geräts oder die Helligkeit der Umgebung. Für den Zugriff darauf benötigen Apps keine Berechtigung und es ist auch nicht möglich, sie zu deaktivieren. Nur bei Kamera, Mikrofon, GPS sowie bei biometrischen Sensoren wird eine Berechtigung abgefragt.

Die Forscher der PIN-Studie schreiben, dass die möglichen Nebenwirkungen des weitgehend berechtigungsfreien Zugriffs auf Sensordaten weit über die Möglichkeit hinausgehen, Passwörter zu erraten. „Mit Leichtigkeit“ könnte man mit dieser Methode Nutzerverhalten, Standortdaten und Ähnliches ausspionieren, so dass die Privatsphäre von Smartphone-Nutzern am Ende völlig infrage gestellt wird.

Auch wir bei mobilsicher.de sehen hier die Anbieter der Betriebssysteme dringend in der Pflicht. Sie sind die einzigen, die das Problem lösen können, indem sie den Zugriff auf die Sensoren besser schützen.