Genau das ist nämlich Forschern der britischen Universität Newcastle gelungen. Sie haben sich das Arsenal an Sensoren in mobilen Geräten genauer angesehen. Darüber habe ich vor der Sendung mit Maryam Mehrnezhad von der School of Computing Science gesprochen.
Mehrnezhad: Wir haben uns verschiedene Sensoren in Smartphones angesehen. Und zu erst einmal haben wir festgestellt, dass wir rund 25 verschiedenen Sensoren in Smartphones und Tablets zählen konnten. Wir wollten wissen, ob der Zugriff auf jeden dieser Sensoren davon abhängt, dass der Benutzer das erlaubt oder nicht. Und die Antwort ist Nein. Bei bestimmten Sensoren, etwa dem Mikrofon, der Kamera oder dem Wifi-Modul ist die Freigabe des Benutzers erforderlich, wenn eine App darauf zugreifen will. Aber bei anderen Sensoren, vor allem bei den Bewegungssensoren die uns interessierten, ist das nicht nötig. Das wirft einige Sicherheitsaspekte auf. Zum Beispiel können wir anhand der Daten von Beschleunigungs- und Lagesensoren feststellen, ob sie das Handy in die Hand nehmen, ob sie sitzen, gehen oder laufen und welche Eingaben sie auf dem Smartphone machen. Ob sie scrollen, zoomen oder tippen. Das geht soweit, dass wir sogar ihre Pin aufdecken können – über die Sensordaten.
Kloiber: Durch Beobachten der Sensordaten können Sie Passwörter knacken?
Mehrnezhad: Genau das meine ich. Wir nutzen Daten, die man Seitenkanal-Informationen nennt. Und solch einen Angriff nennt man Seitenkanal-Attacke. Also: Aus den Seitenkanal-Daten gewinnen wir Informationen, zum Beispiel Pins.
Kloiber: Wie genau werten sie denn die Sensordaten aus, um an die Geheimnisse zu kommen?
Mehrnezhad: Wie verarbeiten die Sensordaten mit Algorithmen des maschinellen Lernens. Aktuell haben wir ein Neuronales Netzwerk benutzt und wir haben das System mit Trainingsdaten gefüttert. Und dann haben wir es mit neuen Daten probiert – Ergebnis: Wir konnten die PINs anderer Leute herausfinden.
Kloiber: Wie zuverlässig funktioniert Ihre Methode?
Mehrnezhad: Also mit dem System, das wir trainiert haben - so wie wir es auch veröffentlicht haben - können wir eine PIN mit einer Wahrscheinlichkeit von über 70 Prozent im ersten Versuch knacken. Und mit jedem Versuch wird das System zuverlässiger.
Kloiber: Sie hatten ja Eingangs davon gesprochen, dass die Benutzer nicht über alle Sensoren die volle Kontrolle haben und Programmierer darauf freien Zugriff erhalten. Wie kann man das Problem in den Griff bekommen?
Mehrnezhad: Im Moment muss man als Programmierer bei einigen Sensoren den Zugriff vom Nutzer bestätigen lassen, bei einigen anderen Sensoren nicht. Das ist so gewollt – verschiedene Plattformen sorgen dafür, dass eine APP oder ein Webbrowser per se vollen Zugriff auf diese Sensorinformationen erhalten.
Kloiber: Kennen denn die Betriebssystemhersteller wie Google mit Android oder Apple mit iOS das Problem?
Mehrnezhad: Ja, bevor wir unsere Arbeit veröffentlichten, haben wir all diese Firmen und auch die Standardisierungsgremien informiert. Und wir arbeiten mit allen zusammen an einer Lösung. Wir wollen ja die guten Anwendungen für diese Sensoren erhalten und gleichzeitig die Sicherheit und Privatsphäre der Nutzer schützen. Das ist der Kampf zwischen Nutzen und Risiko.
Kloiber: Ist denn eine technische Lösung in Sicht?
Mehrnezhad: Wie ich sagte – wir arbeiten dran. Wir können zurzeit nicht behaupten, dass es eine grundsätzliche, umfassende Lösung gäbe. Wir suchen nach dem besten Weg, dieses Problem zu lösen.
Kloiber: Was könnte denn ein Weg sein?
Mehrnezhad: Wir müssen jetzt die ganzen technischen Standards überarbeiten. Und die Plattformhersteller müssen dann die neue Standardisierung umsetzen, die es in Zukunft geben wird. Aber wie gesagt, wir suchen noch eine gute Balance zwischen Nutzbarkeit und Sicherheit. Zurzeit kennen wir aber die mögliche Lösung des Problems noch nicht.
Kloiber: Warten Sie auch auf Vorschläge der Industrie?
Mehrnezhad: Ja, eine Lösung könnte ja ein ganz restriktiver Zugang zu diesen Sensoren sein. Aber das würde auch die einfache Nutzbarkeit der Anwendungen beeinträchtigen. Der Nutzer möchte nicht jedes Mal beim Öffnen einer Webseite oder bei der Installation einer App erst mal Zugriffsrechte vergeben. Das kennen wir schon – die Nutzer ignorieren oft die Aufforderung, Rechte zu erteilen. Also – das wäre zwar eine Lösung, aber sie würde die Nutzbarkeit sehr einschränken. Also: wir arbeiten dran - zusammen mit der Industrie.