> > > > Wearables als Datenlecks: Forscher lesen PIN-Eingaben aus

Wearables als Datenlecks: Forscher lesen PIN-Eingaben aus

DruckenE-Mail
Erstellt am: von

smartwatch watchface

Es ist kein Geheimnis, dass Geräte wie Smartphones und Tablets sowie neuerdings Wearables den Menschen das Leben nicht nur angenehmer machen, sondern auch neue Gefahren bergen: Smartphones z. B. speichern mittlerweile derart viele, persönliche Informationen über den jeweiligen Besitzer, dass ein Diebstahl fatal sein kann – es sei denn es wurde mit ausreichend Sicherheitsvorkehrungen vorgesorgt. Doch auch das Einloggen in öffentliche Wi-Fi-Netzwerke birgt beispielsweise zahlreiche Sicherheitsrisiken. Forscher der Universität von Kopenhagen haben nun einen Weg gefunden, um über Wearables in einer Zweckentfremdung sensible Daten zu erheben. So konnte man über eine manipulierte Sony Smartwatch 3 und ihre Sensoren erfassen, was der jeweilige Träger gerade an einer Tastatur bzw. einem Keypad eintippt.

Der Student Tony Beltramelli, Hauptverfasser des Papers, konnte dank der über Gyroskop und Accelerometer ermittelten Daten etwa erkennen, welchen PIN der Träger der Smartwatch an einem Keypad eingetippt hatte. Die Analyse erfolgte über lernfähige Algorithmen, welche Beltramelli auch für alle offen einsehbar bei GitHub veröffentlicht hat. Nur auf diese Weise lassen sich die tatsächlich relevanten Eingaben von anderen, ebenfalls erfassten Daten abgrenzen. Beltramelli warnt, dass Hacker die an Smartwatches und anderen Wearables über die Sensoren erfassten Daten theoretisch abfangen und missbrauchen könnten. Nicht nur PIN-Eingaben an EC-Automaten, sondern auch andere Passwörter könnte man so ermitteln. Da Wearables typischerweise am Handgelenk getragen werden, seien sie für Hacker besonders interessant, um Nutzereingaben über Bewegungen zu erkennen: "Dank ihrer Natur, eben am Körper getragen zu werden, bieten derartige Geräte eine hervorragende Angriffsfläche, um in die Privatsphäre von Nutzern einzudringen", schreibt Beltramelli in seinem Abstract des Papers.

keypad wearable beltramelli

Mit seiner Arbeit wolle der Student Hackern natürlich nicht noch in die Hände spielen, sondern allgemein auf die Gefahren bewusst machen. Es gehe laut Beltramelli darum zu zeigen, dass Bewegungssensoren in Wearables eine potentielle Angriffsfläche darstellen und ihre Daten in Zukunft besser abgesichert werden sollten. Getestet hatte Beltramelli seine Methode an Kypads mit zwölf Tasten. Allerdings habe er mithilfe seiner Software die Eingaben recht verlässlich vorhersagen können: Zu 73 % traf das Touchlogging ins Schwarze und zu 59 % das Keylogging. Für Hacker wäre allerdings problematisch, dass natürlich nur die Eingaben der Hand erfasst werden können, an dessen Handgelenk die Smartwatch bzw. das Wearable ruht.

Allgemein zeigt das Paper, das Wearables theoretisch immer dann ein Sicherheitsrisiko darstellen, wenn Eingaben vorgenommen werden. Um auf Nummer sicher zu gehen, könnte man Smartwatches und Fitnesstracker also immer abnehmen, wenn man sensible Daten eingibt – oder stets die Hand benutzen, an der man sein Gerät nicht trägt.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (14)

#5
Registriert seit: 05.04.2007

Stabsgefreiter
Beiträge: 359
Zitat coolnik;24159411

Im Extremfall hackt der Hacker dir einfach die Biometrie mit dem Hackebeil ab xD


Da muss ich dich leider enttäuschen.
Gute biometrische Sensoren erfassen Puls und viele weitere Merkmale, diese zu täuschen ist sehr aufwändig.

So etwas findet man in den nächsten Jahren aber sicherlich noch keinen Einzug in Consumerhardware...
Es ist viel zu groß und teuer.

Im Endeffekt geht es sowieso nur darum die Hürden so hoch zu setzen um interessant zu werden (zumindest im privaten Umfeld).
#6
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Zitat coolnik;24159411
Biometrische Daten lassen sich auch irgendwie abgreifen. Was soll da sicherer sein??

Venenscanner z.B. erkennen eindeutig ob das Körperteil lebt, oder nicht.
Davon abgesehen, da du den Hackebeil erwähnst.. würdest du nicht sofort dein Passwort/Pin heraus geben, wenn jemand mit dem Beil hinter dir am Geldautomaten steht?
#7
Registriert seit: 14.08.2007

Kapitänleutnant
Beiträge: 1906
Das war jetzt überspitzt, aber wenn plötzlich jeder Geldautomat über einen biometrischen Scanner verfügen würde, dann gäbe es auch wieder genug Anreiz den zu knacken. Ein Venenscanner kann sicherlich auch irgendwie überlistet werden, dann hab ich lieber meine Pin im Kopf als meinen Fingerabdruck an der Karte, dem iPhone, ...., der Datenbank der Sparkasse, usw. Im Falle eines Diebstahls wird es schwer werden seine Biometrischen Daten nachträglich zu ändern.

Edit: Okay. Ein Handvenenscanner scheint wohl doch ein sehr sicheres System zu sein. Selbst, wenn man die nötigen Daten hätte, scheint es nahezu unmöglich bzw irrsinnig teuer zu sein ein funktionierendes Imitat herzustellen. Am Geldautomaten wird man vermutlich kein Opfer eines solchen Angriffs werden, da es dort einfachere Möglichkeiten gibt an die Pin zu kommen und weil die Karte noch ausgelesen werden muss.
Ich kann mir aber ein Szenario vorstellen, in dem man Sicherheitsschlösser knacken will (Safe, Sicherheitsbereiche, Alarmanlagen,...). Wenn man einem Mitarbeiter mit Zutritt eine solche Uhr unterjubeln kann und sich die Pins nicht regelmäßig ändern, dann hat man spätestens nach dem dritten Arbeitstag zu 100% alle Pins um sich Zugang verschaffen zu können.
#8
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 10930
Bei der ganzen Biometrie-Sensoren warte ich nur drauf dass die eigenen Daten gegen einen verwendet werden.

- Sie wollen sich bei uns versichern? Das wird nix. Bei Ihnen besteht ein sehr großes Herzinfaktrisiko :D
--> Smarthandy, Wearables & Co. lassen grüßen :vrizz:

Oder noch besser. Alles wurde auf Biometrie und kontaktlos (NFC, ...) umgesellt. Es ist ja sicherer :D
Puste kuchen. In diesem Fall ist es für kriminelle sehr attraktiv und entweder "hacken" Sie dich oder die
Firmen / Behörden die bereits diese Daten schon haben. Und wir wissen ja alle wie gut "gesichert" unsere
Daten bei den ganzen Firmen / Behörden sind.

Aber es muss bequem sein und schnell gehen :wall:
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Zitat MENCHI;24161516
- Sie wollen sich bei uns versichern? Das wird nix. Bei Ihnen besteht ein sehr großes Herzinfaktrisiko :D

Diese Möglichkeit besteht, aber das zu verhindern ist erstens Sache der Politik und zweitens kann man sich durchaus die Frage stellen ob ein Unternehmen nicht durchaus das Recht hat, soetwas zu wissen, bevor sie dir einen Dienst anbieten.

Zitat MENCHI;24161516

Oder noch besser. Alles wurde auf Biometrie und kontaktlos (NFC, ...) umgesellt. Es ist ja sicherer :D
Puste kuchen. In diesem Fall ist es für kriminelle sehr attraktiv und entweder "hacken" Sie dich oder die
Firmen / Behörden die bereits diese Daten schon haben. Und wir wissen ja alle wie gut "gesichert" unsere
Daten bei den ganzen Firmen / Behörden sind.

Die Daten an sich nutzen aber nichts, wenn man nicht mit annähernd vertretbarem Aufwand, die biometrischen Daten dann faken kann.

Zitat MENCHI;24161516
Aber es muss bequem sein und schnell gehen :wall:

Richtig, denn was ist die Alternative? Wegen ein klein wenig mehr Sicherheit, den Schwanz einziehen und sich abschotten?
Da faellt mir doch glatt Franklin's Spruch ein.
#10
Registriert seit: 08.12.2007

Kapitänleutnant
Beiträge: 1609
Zitat DragonTear;24161880
Diese Möglichkeit besteht, aber das zu verhindern ist erstens Sache der Politik und zweitens kann man sich durchaus die Frage stellen ob ein Unternehmen nicht durchaus das Recht hat, soetwas zu wissen, bevor sie dir einen Dienst anbieten.


Fängt ja schon an, die Techniker Krankenkasse bietet ja schon einen "Zuschuss" für Smartwatches an. Die Gesetze kommen für sowas immer viel zu spät.
Finde auch dass die Leute vorsichtiger mit sowas sein sollten, bin ehrlich gesagt auch kein Fan von Fingerbadrucksensor im Handy, darf man aber schon gar nicht erwähnen, da man sonst als uncool oder paranoid bezeichnet wird.
#11
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Zitat teiger;24163478
Fängt ja schon an, die Techniker Krankenkasse bietet ja schon einen "Zuschuss" für Smartwatches an.

Weil davon ausgegangen wird, dass man dadurch etwas mehr auf seine Gesundheit und Bewegung achtet. Das ist durchaus was gutes, wuerde ich sagen.
#12
Registriert seit: 08.12.2007

Kapitänleutnant
Beiträge: 1609
Das denke ich ist eher der kleinere Punkt, Datensammeln ist für mich das Stichwort. Wenig Bewegung? Hoher Puls? Höhere Wahrscheinlichkeit für Krankenhausaufenthalte -> teurere Versicherung ;)
#13
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Zitat teiger;24170185
Das denke ich ist eher der kleinere Punkt, Datensammeln ist für mich das Stichwort. Wenig Bewegung? Hoher Puls? Höhere Wahrscheinlichkeit für Krankenhausaufenthalte -> teurere Versicherung ;)

Das ist doch das selbe: Bewegung -> Zsuchuss -> günstiger.
Dh. Keine Bewegung -> Kein Zuschsus -> teurer.
#14
Registriert seit: 08.12.2007

Kapitänleutnant
Beiträge: 1609
Nein, ist eben nicht das selbe, das ist wie wenn du Bestrafung und Belohnung gleichstellst, genau das Gegenteil ;)

Beispiel, alle die nicht verheiratet sind, müssen einen Steuerzuschlag zahlen, die verheiratet sind, zahlen den normalen Steuersatz -> kommt nicht gut bei der Bevölkerung an.
Verheiratete bekommen einen Steuererlass -> kommt besser an.

Ausgangspunkt ist hier anders. Ich weiß was du meinst, dass es im Schnitt das "selbe" ist, ist es aber in dem Fall nicht (wegen dem Ausgangspunkt).
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

AVM FRITZ!Fon C5 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/AVM_C5_TEASER_KLEIN

Im Spätsommer 2015 zeigte AVM mit dem FRITZ!Fon C5 die Erweiterung der Festnetz-Familie, die bis dahin aus drei Modellen bestand. Nach längerem Test zeigt sich nun, dass bahnbrechende Veränderungen fehlen. Eine Enttäuschung ist das neue Telefon deshalb aber nicht, denn entscheidend sind die... [mehr]

Gelid ZenTree im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/GELID_ZENTREE_TEASER_KLEIN

Wer mehr als nur Smartphone und Tablet per USB-Kabel aufladen muss, wird das Kabelwirrwarr kennen. Denn natürlich müssen meistens zwei oder mehr Geräte gleichzeitig geladen werden, was nicht selten in einer ganzen Ladegeräte-Batterie endet. Mit dem ZenTree will Gelid sich genau dieses Problems... [mehr]

HTC Vive in der Praxis: Aufbau und Funktionsweise

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/HTC-VIVE/HTC-VIVE-LOGO2

2016 soll das Jahr der virtuellen Realität werden. Kaum ein Thema hat in den vergangenen Monaten für einen solchen Hype sorgen können. Dabei haben sich die Hersteller wirklich auf das Jahr 2016 konzentriert, denn angefangen bei der Consumer Electronics Show Anfang Januar, über den Mobile World... [mehr]

Ohne Kabel: Bose QuietComfort 35 und B&O Beoplay H5 im Praxistest

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/BLUETOOTH-KOPFHOERER/QUIETCOMFORT_35_LOGO

Ist der 3,5-mm-Klinke-Anschluss überhaupt wegzudenken? Mit dieser Fragen werden sich ab dem Sommer sicherlich so einige Menschen beschäftigen müssen, denn offenbar plant Apple das Weglassen des Kopfhörer-Anschlusses. Doch eigentlich sollte es bei der drahtlosen Übertragung von Musik doch um... [mehr]

Smartwatch: Vom Hoffnungsträger zum Problemfall

Logo von IMAGES/STORIES/NEWSBILDER/APPLE-WATCH-ARMBAENDER-GUIDELINES-RS

Wann genau die Geburtsstunde der Smartwatch geschlagen hat, lässt sich schwer bestimmen. Einigt man sich auf das Datum, seitdem sie in der breiteren Öffentlichkeit eine wahrnehmbare Rolle spielt, hat sie gerade den sechsten Geburtstag erlebt. Denn so alt wurde vor wenigen Tagen die Sony Ericsson... [mehr]

Test: Eve Thermo ergänzt HomeKit-Setup von Elgato

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/ELGATO-EVE/ELGATO-EVE-THERMO-LOGO

Vor einigen Wochen haben wir uns einige der ersten HomeKit-Sensoren der Eve-Serie von Elgato angeschaut. Dabei warfen wir einen Blick auf Eve Room, Eve Door & Windows, Eve Energy und Eve Weather. Zur CES kündigte Elgato eine Ausweitung der Produktlinie an und präsentierte unter anderem den... [mehr]