In einem typischen Smartphone stecken etwa 25, oft nur wenige Millimeter große Sensoren, die es zu einer Art digitalem Schweizer Taschenmesser machen. Magnetometer und Beschleunigungssensor machen das Gerät zum Kompass, das Barometer sagt der Fitness-App wie viele Stufen man schon gestiegen ist, der Helligkeitssensor regelt das Displaylicht automatisch und das Gyroskop registriert Drehungen, etwa um den Bildschirm zu rotieren oder Spiele zu steuern.
Forscher von der Newcastle University haben nun gezeigt, dass es theoretisch möglich ist, von einigen dieser Sensordaten auf Informationen zu schließen, die eigentlich geheim bleiben sollten. Aus den Bewegungsdaten des Gyroskops konnten sie einen vierstelligen PIN-Code mit 70-prozentiger Wahrscheinlichkeit schon im ersten Versuch ableiten. Beim fünften Versuch betrug die Trefferquote sogar 100 Prozent.
Die Smartphonehersteller seien sich dieses Sicherheitsrisikos bewusst, so die Forscher. Eine Lösung oder gar den Willen, Benutzerfreundlichkeit zugunsten von Sicherheit zu opfern, hätten sie allerdings noch nicht. Maryam Mehrnezhad, Hauptautorin der Studie im International Journal of Information Security, schreibt in einer Pressemitteilung: „Weil Apps und Websites nicht nach Erlaubnis fragen müssen, um auf die meisten der Sensoren zuzugreifen, können böswillige Programme die Sensordaten ‚ausspionieren‘ und damit eine Reihe von sensiblen Informationen wie Telefonzeiten, physische und eben auch Touch-Aktivitäten wie die Eingabe von PINs und Passwörtern herausfinden.“
Gerade das Gyroskop, das die Drehbewegungen misst, kann leicht von Hackern missbraucht werden. Der Sensor ist nämlich einer von jenen, für deren Nutzung viele Apps nicht wie bei Kamera oder GPS nach Erlaubnis fragen müssen. Jeder Tipper, jede Wisch- und Druckbewegung, jede Neigung des Telefons hinterlässt so ein einzigartiges Muster, das sich interpretieren lässt.
Siamak Shahandashti, Ko-Autor der Studie, erklärt die Gefahr so: „Es ist ein bisschen wie bei einem Puzzle – je mehr Teile man zusammenfügt, desto besser kann man das ganze Bild erkennen.“ Jeder Sensor trägt also dazu bei, dass das Puzzlebild der persönlichen Informationen immer besser zu erkennen ist. „Persönliche Fitnesstracker, die die Bewegungen des Handgelenks an ein Online-Profil übertragen, stellen eine ganz neue Bedrohung dar“, ergänzt der Wissenschaftler.
Die Forscher aus Newcastle konnten im Verlauf ihrer Studie zeigen, dass eine Website oder App, die Sensoren heimlich aktiviert, in manchen Browsern solange Daten abgreifen kann, wie der Tab im Hintergrund geöffnet bleibt – in einigen Fällen sogar noch, wenn das Smartphone im Sperrzustand ist. Wer dann etwa seine Online-Banking-PIN eingibt, verrät durch seine Bewegungen indirekt die Zahlenkombination. „Menschen sind viel besorgter um die Daten der Kamera oder des GPS, die stillen Sensoren werden meist unterschätzt“, sagt Mehrnezhad.
Schon 2011 bewiesen Forscher am Georgia Institute of Technology, dass der Beschleunigungssensor oder das Mikrofon eines iPhones Tastaturanschläge in tatsächliche Worte übersetzen können. Dazu musste das Smartphone nur auf dem Schreibtisch neben dem Desktop-PC liegen. Und Stanford-Forscher konnten 2014 den Bewegungssensor in ein Mikrofon umwandeln, um Gesprächen zu lauschen.
Um Sicherheitslücken wie diese zu schließen wollen die Forscher der Newcastle University auch mit der Industrie zusammenarbeiten. Bis es zu einer Lösung kommt, sollten Nutzer aber das Sicherheits-Einmaleins beherrschen: Betriebssystem aktuell halten, Passwörter regelmäßig ändern, Tabs schließen und Apps nur von vertrauenswürdigen Quellen herunterladen.
