Desktop-Computer sind ja mittlerweile ziemlich out – heutzutage kommt man bestens mit Tablet und Smartphone aus. Und macht darüber dann alles im Netz, was man so macht: Online-Banking, alle möglichen Accounts aufrufen, Passwörter eingeben. Da gibt es allerdings einen kleinen Haken, und der heißt „Bewegungssensor“. Der steckt in allen Mobilgeräten drin und ist sehr feinfühlig – so feinfühlig, dass er wirklich alle Bewegungen mitbekommt. Auch, wie man gerade die PIN für das Konto eingebt. Britische Forscher haben jetzt noch einmal auf ein altbekanntes Problem aufmerksam gemacht.
Böswillige Apps nämlich, die den Bewegungssensor abgreifen und übers Netz ausplaudern, gab es als “proof of concept” oder vielleicht auch in freier Wildbahn schon länger – die muss man sich allerdings auch erst einmal gutgläubig und freiwillig installieren. Der viel heiklere Angriffsvektor, so Maryam Mehrnezhad von der Newcastle University, liegt in einem “drive-by”, einem schlichten Webseitenaufruf mit dem Mobilgerät. Dann wird nämlich auf einer “bösartigen” Website oder bei einem “bösartigen” Werbebanner JavaScript-Code ausgeführt, der den Bewegungssensor abfragt – im Unterschied etwa zum Geolokalisation-Tracking ohne das Einholen einer Genehmigung des Users.
Die Sensor-Abfrage ist in den W3C-Standards vorgesehen und ja auch als Feature für bestimmte Zwecke sinnvoll (Bewegungs-, Gesundheits- oder Schlaf-Tracker z.B. ) – tatsächlich haben Browser-Hersteller in Zusammenarbeit mit den Forschern auch schon nachgebessert: So wird mittlerweile die Sensordaten-Übermittlung geblockt, wenn die ursprünglich abfragende Webseite nicht mehr im Vordergrund angezeigt wird. Auch eine Reduzierung der Sensor-Samplingrate, der übermittelten Genauigkeit also, kann die Rekonstruktion von PIN- oder Passworteingaben erschweren oder unmöglich machen.
Und so merkwürdig das klingt – beim derzeitigen Stand könnte es sinnvoll sein. das Mobilgerät bei allen “heiklen” Aktionen nicht in der Hand zu halten, sondern auf den Tisch zu legen. 🙂
P.S. – Für die sensible Plaudertasche an Bord gibt es ja auch sehr lehrreiche Anwendungen wie PhyPhox von der RWTH Aachen.
PIN-Klau per Bewegungssensor: Sensible Plaudertaschen · DRadio Wissen
DRadioWissen – Hielscher oder Haase vom 10.04.2017 (Moderation: Till Haase)
P.S. 15.04.2017 – Mein Kollege Manfred Kloiber hat das Thema auch heute in der Sendung Computer & Kommunikation noch einmal beleuchtet und ein Interview mit der Studienautorin geführt.