Wearables als Datenlecks

Forscher lesen PIN-Eingaben aus

Es ist kein Geheimnis, dass Geräte wie Smartphones und Tablets sowie neuerdings Wearables den Menschen das Leben nicht nur angenehmer machen, sondern auch neue Gefahren bergen: Smartphones z. B. speichern mittlerweile derart viele, persönliche Informationen über den jeweiligen Besitzer, dass ein Diebstahl fatal sein kann – es sei denn es wurde mit ausreichend Sicherheitsvorkehrungen vorgesorgt. Doch auch das Einloggen in öffentliche Wi-Fi-Netzwerke birgt beispielsweise zahlreiche Sicherheitsrisiken. Forscher der Universität von Kopenhagen haben nun einen Weg gefunden, um über Wearables in einer Zweckentfremdung sensible Daten zu erheben. So konnte man über eine manipulierte Sony Smartwatch 3 und ihre Sensoren erfassen, was der jeweilige Träger gerade an einer Tastatur bzw. einem Keypad eintippt.

Der Student Tony Beltramelli, Hauptverfasser des Papers, konnte dank der über Gyroskop und Accelerometer ermittelten Daten etwa erkennen, welchen PIN der Träger der Smartwatch an einem Keypad eingetippt hatte. Die Analyse erfolgte über lernfähige Algorithmen, welche Beltramelli auch für alle offen einsehbar bei GitHub veröffentlicht hat. Nur auf diese Weise lassen sich die tatsächlich relevanten Eingaben von anderen, ebenfalls erfassten Daten abgrenzen. Beltramelli warnt, dass Hacker die an Smartwatches und anderen Wearables über die Sensoren erfassten Daten theoretisch abfangen und missbrauchen könnten. Nicht nur PIN-Eingaben an EC-Automaten, sondern auch andere Passwörter könnte man so ermitteln. Da Wearables typischerweise am Handgelenk getragen werden, seien sie für Hacker besonders interessant, um Nutzereingaben über Bewegungen zu erkennen: "Dank ihrer Natur, eben am Körper getragen zu werden, bieten derartige Geräte eine hervorragende Angriffsfläche, um in die Privatsphäre von Nutzern einzudringen", schreibt Beltramelli in seinem Abstract des Papers.

Mit seiner Arbeit wolle der Student Hackern natürlich nicht noch in die Hände spielen, sondern allgemein auf die Gefahren bewusst machen. Es gehe laut Beltramelli darum zu zeigen, dass Bewegungssensoren in Wearables eine potentielle Angriffsfläche darstellen und ihre Daten in Zukunft besser abgesichert werden sollten. Getestet hatte Beltramelli seine Methode an Kypads mit zwölf Tasten. Allerdings habe er mithilfe seiner Software die Eingaben recht verlässlich vorhersagen können: Zu 73 % traf das Touchlogging ins Schwarze und zu 59 % das Keylogging. Für Hacker wäre allerdings problematisch, dass natürlich nur die Eingaben der Hand erfasst werden können, an dessen Handgelenk die Smartwatch bzw. das Wearable ruht.

Allgemein zeigt das Paper, das Wearables theoretisch immer dann ein Sicherheitsrisiko darstellen, wenn Eingaben vorgenommen werden. Um auf Nummer sicher zu gehen, könnte man Smartwatches und Fitnesstracker also immer abnehmen, wenn man sensible Daten eingibt – oder stets die Hand benutzen, an der man sein Gerät nicht trägt.