Forscher knacken Smartphone-PIN mit Hilfe von Sensordaten

Forscher der britischen Newcastle University haben ein neues Verfahren entwickelt, mit dem ihrer Ansicht nach auch Hacker in der Lage wären, die PIN eines Smartphones zu erraten. Es beruht auf der Analyse von Sensordaten, mit denen sich Bewegungen und die Lage des Geräts nachvollziehen lassen. Zumindest bei Tests erzielen die Forscher nach eigenen Angaben eine hohe Trefferquote.

Moderne Smartphones sind mit einer Vielzahl von Sensoren wie Beschleunigungssensor, Gyroskop und Annäherungssensor ausgestattet, die die Lage des Geräts und jegliche Bewegung erfassen. Die Daten werden unter anderem für Fitness- und Gesundheitsapps und Spiele benötigt. Aber auch gefährliche Apps und Websites können unter Umständen auf diese Daten zugreifen.

Bei ihren Untersuchungen stellten die Forscher fest, dass jegliche Interaktion mit einem Smartphone wie Tippen, Scrollen und Wischen zu einer eindeutigen Bewegung und Änderung der Orientierung des Geräts im Raum führt. Diese Daten lassen sich zusammenführen und Rückschlüsse darauf zu, wo der Nutzer getippt hat und was eingegeben wurde.

Eine vierstellige PIN knackten die Forscher im ersten Versuch mit einer Wahrscheinlichkeit von 70 Prozent. Bei fünf Versuchen erhöhte sich die Wahrscheinlichkeit auf 100 Prozent. Je nach Hersteller beziehungsweise Einstellungen sind bei vielen Geräten sogar mehr als 5 Versuche möglich, bevor ein Manipulationsversuch unterstellt wird. Die SIM-PIN erlaubt indes stets nur drei Versuche, bevor statt der PIN ein mehrstelliger Code eingegeben werden muss, um die SIM-Karte zu entsperren.

„Da mobile Apps und Websites keine Berechtigungen einfordern einfordern müssen, um auf die meisten Sensoren zuzugreifen, können schädliche Programme verdeckt die Sensordaten ausspähen und nutzen, um eine Vielzahl vertraulicher Informationen wie PINs und Passwörter aufzudecken“, erklärte Maryam Mehrnezhad, Forscherin für Computerwissenschaften an der Newcastle University.

Besonders beunruhigend sei, dass bei einigen Browsern geöffnete Tabs selbst im Hintergrund noch Zugriff auf Sensordaten hätten. Ein Nutzer, der per Browser sein Online-Bankkonto verwalte, ohne alle zuvor benutzten Tabs zu schließen, gebe möglicherweise seine Bankdaten preis. „Was noch schlimmer ist, in einigen Fällen können sie sogar noch spionieren, wenn das Telefon gesperrt ist, außer Sie schließen sie vollständig.“

Welche Browser betroffen sind, teilten die Forscher nicht mit. Sie hätten aber alle wichtigen Anbieter mobiler Browser über die Ergebnisse ihrer Studie informiert, bisher jedoch noch keine Rückmeldungen erhalten.

[mit Material von Sam Pudwell, Silicon.co.uk]