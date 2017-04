(Bild: dpa, Britta Pedersen)

Die Sensoren von Smartphones geben Aufschluss über die Aktivitäten des Nutzers. Wissenschaftler von der Universität Newcastle haben ein Verfahren entwickelt, mit dem sie mithilfe der Handy-Sensoren sogar die PIN herausfinden können.

Wer sein Handy benutzt, hinterlässt Spuren - Fett auf dem Touchscreen, Kratzer an der Rückseite. Andere Spuren bleiben verborgen: Wissenschaftler der Universität Newcastle haben JavaScript-Code entwickelt, mit dem sie Zugriff auf die Sensoren des Smartphones bekommen. Diese Daten verraten überraschend viel über den Nutzer.

Jede Touch-Aktion, also etwa Tippen, Gedrückthalten oder Scrollen, verändert die Ausrichtung eines Smartphones subtil, so die Studie. Drückt man beispielsweise auf den rechten Rand des Bildschirms, gibt das Handy leicht nach und dreht sich etwas zur Seite. Die Bewegungssensoren sind so präzise, dass sie selbst kleine Bewegungen bemerken.

Theorie und Praxis

Das Tracking ist akkurat genug, um auf einer präparierten Seite eingegebene PINs verlässlich reproduzieren zu können. Laut den Forschern um Maryam Mehrnezhad ließen sich auf Anhieb 70 Prozent aller PINs korrekt berechnen, spätestens beim fünften Anlauf lagen die Wissenschaftler auch bei allen anderen PINs richtig.

Eine akute Sicherheitsbedrohung ergibt sich in der Praxis dadurch erst einmal nicht: Angreifer müssten den Code per Browser zuerst auf die Geräte der Opfer schleusen. Anschließend müsste der Nutzer dazu bewegt werden, seine PIN im Browser einzugeben. Und selbst wenn Angreifer die PIN eines Geräts kennen, müssen sie erst noch einen Weg finden, das auszunutzen.

Informationen zum Nutzungsverhalten

Trotzdem ist die "TouchSignatures" getaufte Technik heikel - sie könnte eingesetzt werden, um das Nutzungsverhalten des Smartphone-Besitzers auszuspionieren. Man könne herausfinden, welche Webanwendungen ein Nutzer gerade verwendet, schreiben die Forscher in ihrer Studie. Scrollen deute etwa auf die Nutzung einer Nachrichtenseite hin, Tippen auf eine Mail-App. Man könnte anhand der Flächen, auf die ein Nutzer tippt, auch zumindest grobe Rückschlüsse auf verwendete Passwörter ziehen.

Die Forscher der Universität Newcastle haben das Das World-Wide-Web-Consoritum genau wie die Browser-Entwickler Mozilla, Google, Apple und Opera über den Exploit in Kenntnis gesetzt. (dahe)