Spion am Handgelenk

Wie Wearables unsere PINs und Passwörter ausspähen

| Redakteur: Dr. Anna-Lena Gutberlet

Wearables entpuppen sich als Spion am Handgelenk
Wearables entpuppen sich als Spion am Handgelenk (Bild: lev dolgachov / Fotolia)

Sie sind im Trend, praktisch und eine fatale Sicherheitslücke: Unsere Mini-Rechner am Handgelenk können Hackern durch ihre eingebauten Bewegungssensoren unsere Passwörter und Bank-PINs verraten.

Immer mehr Menschen nutzen Smartwatches, Fitness-Tracker und Co, um Mails abzurufen, ihre Schritte zu zählen oder ihr Schlafverhalten auszuwerten. Möglich wird dies, weil die Mini-Computer Beschleunigungsmesser und Lagesensoren enthalten, die selbst feinste Bewegungen im Millimeter-Bereich registrieren.

Und aufgrund dieser Technik könnten die tragbaren Geräte zur Gefahr werden, wie Chen Wang vom Stevens Institute of Technology in New Jersey und seine Kollegen herausfanden. "Wearables können ausgenutzt werden", sagt Wang. "Angreifer können mit ihrer Hilfe die Bewegungen der Hand reproduzieren und so geheime Eingaben an Geldautomaten, elektronischen Türschlössern und anderen mit Tastenfeld gesicherten Objekten erspähen."

Selbst die Wissenschaftler waren verblüfft, wie einfach das gelingt: In einem Experiment trugen 20 Erwachsene handelsübliche Smartwatches und Fitness-Tracker, in diese die Forscher zuvor eine Software eingeschleust hatten. Die Software zeichnete die Daten der Beschleunigungsmesser, Gyroskope und Magnetometer im Inneren der Geräte während 5000 Pin-Eingaben an Bankautomaten und auf Computertastaturen auf.

Diese Daten werteten die Forscher mit dem von ihnen entwickelte "Backward PIN-sequence Interference"-Algorithmus aus. Gleich im ersten Versuch erreichte die Technik eine Treffgenauigkeit von 80 Prozent. Bei drei Versuchen lag die Quote schon bei 90 Prozent.

Im Gegensatz zu bisherigen Ausspäh-Attacken, werden weder Kameras oder falsche Tastenfelder am Geldautomat nötig, noch sind lange Trainingsphasen für dies Software nötig.

Zurzeit arbeitet das Team an einer Lösung des Problems. Denkbar wäre, eine Art Rauschen zu den Daten hinzuzufügen. Die Daten können dann nicht mehr verwendet werden, um die feinen Handbewegungen zu abzuleiten, wären aber noch genau genug, um zum Beispiel Schritte zu zählen. Auch empfehlen die Forscher den Datenaustausch zwischen Smartwatch und Smartphone besser zu verschlüsseln.

Originalveröffentlichung: C. Xiaonan Guo et al: Friend or Foe? Your Wearable Devices Reveal Your Personal PIN. ASIA CCS '16 Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security, 2016; DOI: 10.1145/2897845.2897847

Kommentar zu diesem Artikel abgeben
Glücklicherweise trage ich meine Apple Watch am linken Handgelenk. Da ich Rechtshänder bin ist...  lesen
posted am 21.07.2016 um 13:34 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44174546 / Safety & Security)