„Die in Smartphones integrierten Bewegungssensoren könnten Angreifern eine Möglichkeit bieten, auf Sicherheits-PINs zu schließen, haben Forscher der Newcastle University herausgefunden.
Heutige Smartphones sind vollgestopft mit diesen Sensoren, zu denen bekannte Sensoren wie GPS, Kamera, Mikrofon und Fingerabdruckleser gehören, aber auch Beschleunigungsmesser, Gyroskope, Umgebungslichtsensoren, Magnetometer, Näherungssensoren, Barometer, Thermometer und Luftfeuchtigkeitssensoren – um nur einige der geschätzten 25 in den bestausgestatteten Modellen zu nennen.
Das sind viele Daten, auf die eine betrügerische App oder eine bösartige Website abzielen kann, und viele davon werden von keinem konsistenten Berechtigungs- oder Benachrichtigungssystem abgedeckt.
Die Studie der Universität Newcastle konzentrierte sich auf die Sensoren, die die Ausrichtung, Bewegung und Drehung eines Geräts aufzeichnen, was, so die Theorie des Teams, zur Offenlegung spezifischer Berührungsaktionen verwendet werden könnte.
Bei der Methode gaben 10 Smartphone-Benutzer jeweils fünfmal 50 vierstellige Test-PINs auf einer Webseite ein, was Daten zum Trainieren des neuronalen Netzwerks lieferte, das zum Erraten der PINs verwendet wurde.
Tatsächlich erriet das Netzwerk beim ersten Versuch in beeindruckenden 70 % der Fälle die richtige PIN. Beim fünften Versuch lag die Erfolgsquote bei 100 %.
Zum Vergleich: Das Team geht davon aus, dass eine zufällige Schätzung einer vierstelligen PIN (aus 10.000 Möglichkeiten) beim ersten Mal nur in 2 % der Fälle und bei der dritten Schätzung in 6 % der Fälle richtig ist.
Das ist eine beeindruckende Ratequote – sollten sich Smartphone-Nutzer also Sorgen machen?
Kurzfristig eher nicht. Das Training des neuronalen Netzwerks, um dieses Genauigkeitsniveau zu erreichen, erforderte eine große Menge an Trainingsdaten – 250 PINs pro Zielbenutzer –, um Rückschlüsse darauf zu ziehen, welche Schlüssel Personen berührt hatten.
Das Sammeln jeder dieser PINs war nur unter bestimmten Bedingungen möglich, etwa wenn ein Angreifer eine betrügerische App ausführte oder den Benutzer auf eine Website gelockt hatte, auf der bösartiger JavaScript-Code in einem Tab ausgeführt wurde, der geöffnet blieb, während er auf einer anderen Website eine PIN eingab.
Unter realen Bedingungen wäre dies ziemlich schwierig zu bewerkstelligen. Auf jeden Fall, so das Team, wählen bis zu einem Viertel der Smartphone-Benutzer PINs aus einem vorhersehbaren Satz von 20 gängigen Sequenzen wie 1234, 0000 oder 1000, sodass fortgeschrittene neuronale PIN-Erraten möglicherweise übertrieben sind.
Was uns die Studie sagt, ist, dass die Art und Weise, wie jemand ein Smartphone hält, klickt, scrollt und tippt, Daten generiert, die nicht so unentzifferbar oder zufällig sind, wie die Leute wahrscheinlich denken.
Die Hauptautorin der Studie, Dr. Maryam Mehrnezhad, sagte: „Wir alle verlangen nach dem neuesten Telefon mit den neuesten Funktionen und einem besseren Benutzererlebnis, aber da es branchenweit keine einheitliche Methode zur Verwaltung von Sensoren gibt, stellen sie eine echte Bedrohung für unsere persönliche Sicherheit dar.“ "
Eine Lösung wäre, die Sensorberechtigungen zu erweitern, sodass Benutzer sehen können, wenn eine bösartige Website oder App auf sie zugreift. Aber es gibt mittlerweile so viele davon in Smartphones, dass es zu einer Überlastung der Benachrichtigungen kommen kann.
Die anderen Vorschläge des Teams – PINs regelmäßig ändern, App-Berechtigungen vor der Installation überprüfen, Hintergrundregisterkarten und Apps schließen – sind sinnvoll, werden aber beim durchschnittlichen Smartphone-Benutzer wahrscheinlich keinen großen Eindruck hinterlassen, wenn man sich an der Historie der Sicherheitshinweise orientieren kann.
Alternativ könnten die Leute einfach längere PINs verwenden oder, noch besser, die Industrie könnte sie ganz abschaffen (wie es andernorts der Fall ist) und stattdessen bessere Sicherheitsoptionen nutzen. Benutzer mögen PINs, aber ihre Tage sind sicherlich gezählt.“
Quelle: John E. Dunn, nakedsecurity.sophos.com