Digital
Apple

Sicherheitslücke: Smartwatch und Co. können PIN verraten

Sicherheitslücke am Handgelenk: Smartwatch und Fitness-Tracker können Passwörter verraten

12.07.2016, 09:5512.07.2016, 13:18
Mehr «Digital»
Smartwatches oder Fitness-Tracker am Handgelenk können Daten verraten. 
Smartwatches oder Fitness-Tracker am Handgelenk können Daten verraten. 
Bild: PD

Sie sind praktisch, die Mini-Rechner am Handgelenk. Smartwatches und Activity-Tracker wie Fitbits, Jawbones, Nike+ oder Apple Watches nehmen unsere elektronische Post quasi im Handumdrehen entgegen, wecken uns rechtzeitig und überwachen allerlei Körperfunktionen.

Zu diesem Zweck verfügen die Klein-Computer über «Sinneswerkzeuge» wie Beschleunigungsmesser und Lagesensoren. Die kleinen Datensammler sind dank dieser Technik in der Lage, feinste Bewegungen zu registrieren.

Potenzielle Verräter

Genau dies macht sie zu potenziellen Verrätern: Hacker könnten die Datenlogger anzapfen und uns mit ihrer Hilfe aushorchen. Dass diese Gefahr tatsächlich besteht, zeigt ein Experiment, das Yingying Chen vom Stevens Institute of Technology in New Jersey und ihr Team durchführten. 

Wearable Devices boomen

1 / 9
Wearable Devices boomen
Das SmartBand von Sony.
quelle: keystone / alessandro della bella
Auf Facebook teilenAuf X teilen

Sie liessen 20 Versuchspersonen elf Monate lang verschiedene Geräte tragen, die sie zuvor mit einer Schnüffel-Software präpariert hatten. Die Software zeichnete sämtliche Daten auf, die Beschleunigungsmesser, Gyroskope und Magnetometer in den «Wearables» gesammelt hatten.

Digital
AbonnierenAbonnieren

Die Probanden mussten, während sie die Geräte am Handgelenk trugen, in verschiedenen Situationen PIN-Eingaben machen, beispielsweise am Bankomaten oder auf der gewöhnlichen Computer-Tastatur. Aus den ausspionierten Bewegungsdaten rekonstruierte dann eine von den Wissenschaftlern entwickelte Software – mit Hilfe des «Backward PIN-sequence Inference»-Algorithmus – die Tasten, die von den Probanden eingegeben worden waren.

Beunruhigende Trefferquote

Das Schnüffelprogramm legte dabei eine unheimliche Präzision an den Tag: Bei nur einem einzigen Versuch erreichte es eine Trefferquote von 80 Prozent, bei drei Versuchen lag diese bereits bei 90 Prozent – und bei fünf Versuchen bei beunruhigenden 99 Prozent.

Ob beim Tippen des PINs am Bankomaten, ...
Ob beim Tippen des PINs am Bankomaten, ...Bild: Shutterstock

«Die tragbaren Geräte können ausgenutzt werden», warnt Chen denn auch. «Angreifer können mit ihrer Hilfe die Bewegungen der Hand reproduzieren und so geheime Eingaben an Geldautomaten, elektronischen Türschlössern und anderen mit Tastenfeld gesicherten Objekten.» Diese Angreifer benötigten weder Kameras noch falsche Tastenfelder oder Kartenschlitze am Bankomaten, sagen die Forscher. 

... beim Eingeben des Tür-Codes oder ...
... beim Eingeben des Tür-Codes oder ...

«Die Bedrohung ist real»

«Das ist die erste Technik, die persönliche PINs verrät, ohne dass Kontext-Informationen oder Trainingsdaten nötig sind», warnen sie. Ihr Versuch zeige, dass die «Wearable Technology» eine schwerwiegende Sicherheitslücke aufweise. «Die Bedrohung ist real, auch wenn der Ansatz ziemlich komplex ist», sagte Chen. 

... beim Tippen auf der Computertastatur: Der Bewegungssensor zeichnet unsere Bewegungen millimetergenau auf. 
... beim Tippen auf der Computertastatur: Der Bewegungssensor zeichnet unsere Bewegungen millimetergenau auf. Bild: Shutterstock

Potenziellen Angreifern bieten sich zwei Methoden, um an die begehrten Daten heranzukommen: Die erste besteht in einem internen Angriff, bei dem die Hacker sich durch eine eingeschleuste Malware Zugang zu den Sensordaten verschaffen.

Alles Wissenswerte zur Apple Watch

1 / 34
Alles Wissenswerte zur Apple Watch
... die Uhr kommt laut Apple am 24. April in den Verkauf. Ab dem 10. April soll das Wearable vorbestellbar sein.
quelle: x02798 / stephen lam
Auf Facebook teilenAuf X teilen

Die zweite ist ein Angriff von aussen, bei dem die Hacker dem Opfer auflauern, wenn es zum Beispiel seinen PIN am Bankomaten eingibt. Wenn die Smartwatch dann die Daten des Bewegungssensors per Bluetooth ans Handy des Nutzers übermittelt, werden sie über ein drahtloses Gerät abgefangen. 

Noch kaum Abwehrmöglichkeiten

Gegen Angriffe von aussen wäre es bereits hilfreich, wenn der Datenaustausch zwischen Wearable und Smartphone stärker verschlüsselt würde. Generell haben die Forscher allerdings kein Patentrezept gegen die Lauschangriffe in petto.

Die Gerätehersteller könnten aber die Sensordaten durch eine Art «Rauschen» leicht verzerren – die Daten wären dann immer noch präzise genug, um zum Beispiel Schritte zu zählen, aber nicht mehr so genau, dass Tippbewegungen rekonstruiert werden könnten. (dhr)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
8 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
8
US-Justizministerium reicht Wettbewerbsklage gegen Apple ein

Nach jahrelangen Ermittlungen ziehen Wettbewerbshüter der US-Regierung gegen Apple vor Gericht. Die Vorwürfe sind aber enger gefasst, als einige Beobachter es erwartet hatten.

Zur Story