Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Sicherheitslücke am Handgelenk: Smartwatch und Fitness-Tracker können Passwörter verraten



Wearable

Smartwatches oder Fitness-Tracker am Handgelenk können Daten verraten. 
Bild: PD

Sie sind praktisch, die Mini-Rechner am Handgelenk. Smartwatches und Activity-Tracker wie Fitbits, Jawbones, Nike+ oder Apple Watches nehmen unsere elektronische Post quasi im Handumdrehen entgegen, wecken uns rechtzeitig und überwachen allerlei Körperfunktionen.

Zu diesem Zweck verfügen die Klein-Computer über «Sinneswerkzeuge» wie Beschleunigungsmesser und Lagesensoren. Die kleinen Datensammler sind dank dieser Technik in der Lage, feinste Bewegungen zu registrieren.

Potenzielle Verräter

Genau dies macht sie zu potenziellen Verrätern: Hacker könnten die Datenlogger anzapfen und uns mit ihrer Hilfe aushorchen. Dass diese Gefahr tatsächlich besteht, zeigt ein Experiment, das Yingying Chen vom Stevens Institute of Technology in New Jersey und ihr Team durchführten. 

Wearable Devices boomen

Sie liessen 20 Versuchspersonen elf Monate lang verschiedene Geräte tragen, die sie zuvor mit einer Schnüffel-Software präpariert hatten. Die Software zeichnete sämtliche Daten auf, die Beschleunigungsmesser, Gyroskope und Magnetometer in den «Wearables» gesammelt hatten.

Die Probanden mussten, während sie die Geräte am Handgelenk trugen, in verschiedenen Situationen PIN-Eingaben machen, beispielsweise am Bankomaten oder auf der gewöhnlichen Computer-Tastatur. Aus den ausspionierten Bewegungsdaten rekonstruierte dann eine von den Wissenschaftlern entwickelte Software – mit Hilfe des «Backward PIN-sequence Inference»-Algorithmus – die Tasten, die von den Probanden eingegeben worden waren.

Beunruhigende Trefferquote

Das Schnüffelprogramm legte dabei eine unheimliche Präzision an den Tag: Bei nur einem einzigen Versuch erreichte es eine Trefferquote von 80 Prozent, bei drei Versuchen lag diese bereits bei 90 Prozent – und bei fünf Versuchen bei beunruhigenden 99 Prozent.

Bankomat Bedienfeld

Ob beim Tippen des PINs am Bankomaten, ... Bild: Shutterstock

«Die tragbaren Geräte können ausgenutzt werden», warnt Chen denn auch. «Angreifer können mit ihrer Hilfe die Bewegungen der Hand reproduzieren und so geheime Eingaben an Geldautomaten, elektronischen Türschlössern und anderen mit Tastenfeld gesicherten Objekten.» Diese Angreifer benötigten weder Kameras noch falsche Tastenfelder oder Kartenschlitze am Bankomaten, sagen die Forscher. 

Tür-Code

... beim Eingeben des Tür-Codes oder ...

«Die Bedrohung ist real»

«Das ist die erste Technik, die persönliche PINs verrät, ohne dass Kontext-Informationen oder Trainingsdaten nötig sind», warnen sie. Ihr Versuch zeige, dass die «Wearable Technology» eine schwerwiegende Sicherheitslücke aufweise. «Die Bedrohung ist real, auch wenn der Ansatz ziemlich komplex ist», sagte Chen. 

Laptop

... beim Tippen auf der Computertastatur: Der Bewegungssensor zeichnet unsere Bewegungen millimetergenau auf.  Bild: Shutterstock

Potenziellen Angreifern bieten sich zwei Methoden, um an die begehrten Daten heranzukommen: Die erste besteht in einem internen Angriff, bei dem die Hacker sich durch eine eingeschleuste Malware Zugang zu den Sensordaten verschaffen.

Alles Wissenswerte zur Apple Watch

Die zweite ist ein Angriff von aussen, bei dem die Hacker dem Opfer auflauern, wenn es zum Beispiel seinen PIN am Bankomaten eingibt. Wenn die Smartwatch dann die Daten des Bewegungssensors per Bluetooth ans Handy des Nutzers übermittelt, werden sie über ein drahtloses Gerät abgefangen. 

Noch kaum Abwehrmöglichkeiten

Gegen Angriffe von aussen wäre es bereits hilfreich, wenn der Datenaustausch zwischen Wearable und Smartphone stärker verschlüsselt würde. Generell haben die Forscher allerdings kein Patentrezept gegen die Lauschangriffe in petto.

Die Gerätehersteller könnten aber die Sensordaten durch eine Art «Rauschen» leicht verzerren – die Daten wären dann immer noch präzise genug, um zum Beispiel Schritte zu zählen, aber nicht mehr so genau, dass Tippbewegungen rekonstruiert werden könnten. (dhr)

Android Wear

Ob Apple, WhatsApp oder Swatch: Google legt sich mit allen an

Link to Article

Wie eine geniale Schweizer App ansetzt, die Welt zu erobern

Link to Article

Android im Handy, im Auto, im Wohnzimmer und am Arm: Das sind Googles neuste Gadgets

Link to Article

Die neue Google Smartwatch im Test: Hallo Uhr! Verstehst du mich?

Link to Article

Abonniere unseren Newsletter

8
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
8Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Raffaele Merminod 12.07.2016 11:25
    Highlight Highlight Dieser Artikel erscheint heute in fast in allen Medien und keiner passt ihn mit dem Hinweis, die Uhr als Rechtshänder wie normal links zu tragen, an. Jeder, aber absolut jeder, denk das gleiche beim Lesen des Artikels, nur die Redaktion nicht?
    Ist man in den Redaktionen denn so bequem?
  • Der Tom 12.07.2016 10:58
    Highlight Highlight Am besten auf ein Bein stehen, laut Don’t Worry, Be Happy pfeifen und stark zitternd die Eingabe tätigen.
    • SaveAs_DELETE 12.07.2016 13:02
      Highlight Highlight ... und den Pin mit der Nicht-Uhr-Tragenden Hand eingeben ;-)
  • paper 12.07.2016 10:57
    Highlight Highlight Naja, das Problem wird wieder grösser gemacht als es ist. Sind wohl ziemlich wenige User die ihr Wearable an der Hand tragen, mit der sie Pincodes eingeben (links-/rechtshänder). Die Gefahr durch "übliches" Skimming mit Kameras ist da viel grösser.
  • sterpfi 12.07.2016 10:28
    Highlight Highlight Die Zeiten des normalen Passworts sollten sowieso schon vorbei sein... es gibt genügend Alternativen (z.B. http://www.watson.ch/!664415253), sie müssten nur mal umgesetzt werden.
  • riqqo 12.07.2016 10:11
    Highlight Highlight hä? apple watch am linken handgelenk, code-eingabe mit der rechten hand – da findet niemand einen pin mit auslesen der bewegungssensoren heraus...
  • Sir Jonathan Ive 12.07.2016 10:10
    Highlight Highlight Trägt man eine Smartwatch nicht normalerweise an der Hand, mit der man keine solchen Eingaben macht?
    Ich habe meine Uhr immer am Sekundarhandgelenk sonst wäre sie mir im Weg. Pins gebe ich aber eigentlich mit der rechten Hand ein...
  • wipix 12.07.2016 10:04
    Highlight Highlight Ich denke, diese Art der Pinaufzeichnung funtioniert nur, wenn das Gerät am rechten Arm getragen wird. Ich als Rechtshänder und AppelWatch links trager verrate auf diese Weise mine Eingabe nicht.
    Grundsätzlich aber: Eine odentliche Verschlüsselung der Verbindung der Geräte wäre hier angebracht und keine Hexerei!

Wir haben die Smartphone-Tastatur ein Leben lang falsch bedient

Es gibt für alles eine Lösung. Zumindest in der Handywelt.

Es ist wirklich eine nervige Situation: Da hat man sich vertippt, will ein bereits fertiggeschriebenes Wort im Satz nochmal ändern. Und? Man kommt nicht hin!

Grosse Finger, kleines Smartphone – das richtige (oder eben falsche) Satzzeichen zu erwischen, ist oft gar nicht so leicht. Zur Rettung schreitet: Krissy Brierre-Davis.

Die amerikanische Food-Bloggerin entdeckte am Wochenende ein kaum bekanntes iOS-Feature (das auch für Android …

Artikel lesen
Link to Article