> > > > Wearables als Datenlecks: Forscher lesen PIN-Eingaben aus

Wearables als Datenlecks: Forscher lesen PIN-Eingaben aus

Veröffentlicht am: von

smartwatch watchface

Es ist kein Geheimnis, dass Geräte wie Smartphones und Tablets sowie neuerdings Wearables den Menschen das Leben nicht nur angenehmer machen, sondern auch neue Gefahren bergen: Smartphones z. B. speichern mittlerweile derart viele, persönliche Informationen über den jeweiligen Besitzer, dass ein Diebstahl fatal sein kann – es sei denn es wurde mit ausreichend Sicherheitsvorkehrungen vorgesorgt. Doch auch das Einloggen in öffentliche Wi-Fi-Netzwerke birgt beispielsweise zahlreiche Sicherheitsrisiken. Forscher der Universität von Kopenhagen haben nun einen Weg gefunden, um über Wearables in einer Zweckentfremdung sensible Daten zu erheben. So konnte man über eine manipulierte Sony Smartwatch 3 und ihre Sensoren erfassen, was der jeweilige Träger gerade an einer Tastatur bzw. einem Keypad eintippt.

Der Student Tony Beltramelli, Hauptverfasser des Papers, konnte dank der über Gyroskop und Accelerometer ermittelten Daten etwa erkennen, welchen PIN der Träger der Smartwatch an einem Keypad eingetippt hatte. Die Analyse erfolgte über lernfähige Algorithmen, welche Beltramelli auch für alle offen einsehbar bei GitHub veröffentlicht hat. Nur auf diese Weise lassen sich die tatsächlich relevanten Eingaben von anderen, ebenfalls erfassten Daten abgrenzen. Beltramelli warnt, dass Hacker die an Smartwatches und anderen Wearables über die Sensoren erfassten Daten theoretisch abfangen und missbrauchen könnten. Nicht nur PIN-Eingaben an EC-Automaten, sondern auch andere Passwörter könnte man so ermitteln. Da Wearables typischerweise am Handgelenk getragen werden, seien sie für Hacker besonders interessant, um Nutzereingaben über Bewegungen zu erkennen: "Dank ihrer Natur, eben am Körper getragen zu werden, bieten derartige Geräte eine hervorragende Angriffsfläche, um in die Privatsphäre von Nutzern einzudringen", schreibt Beltramelli in seinem Abstract des Papers.

keypad wearable beltramelli

Mit seiner Arbeit wolle der Student Hackern natürlich nicht noch in die Hände spielen, sondern allgemein auf die Gefahren bewusst machen. Es gehe laut Beltramelli darum zu zeigen, dass Bewegungssensoren in Wearables eine potentielle Angriffsfläche darstellen und ihre Daten in Zukunft besser abgesichert werden sollten. Getestet hatte Beltramelli seine Methode an Kypads mit zwölf Tasten. Allerdings habe er mithilfe seiner Software die Eingaben recht verlässlich vorhersagen können: Zu 73 % traf das Touchlogging ins Schwarze und zu 59 % das Keylogging. Für Hacker wäre allerdings problematisch, dass natürlich nur die Eingaben der Hand erfasst werden können, an dessen Handgelenk die Smartwatch bzw. das Wearable ruht.

Allgemein zeigt das Paper, das Wearables theoretisch immer dann ein Sicherheitsrisiko darstellen, wenn Eingaben vorgenommen werden. Um auf Nummer sicher zu gehen, könnte man Smartwatches und Fitnesstracker also immer abnehmen, wenn man sensible Daten eingibt – oder stets die Hand benutzen, an der man sein Gerät nicht trägt.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (14)

#5
Registriert seit: 05.04.2007

Stabsgefreiter
Beiträge: 359
Zitat coolnik;24159411

Im Extremfall hackt der Hacker dir einfach die Biometrie mit dem Hackebeil ab xD


Da muss ich dich leider enttäuschen.
Gute biometrische Sensoren erfassen Puls und viele weitere Merkmale, diese zu täuschen ist sehr aufwändig.

So etwas findet man in den nächsten Jahren aber sicherlich noch keinen Einzug in Consumerhardware...
Es ist viel zu groß und teuer.

Im Endeffekt geht es sowieso nur darum die Hürden so hoch zu setzen um interessant zu werden (zumindest im privaten Umfeld).
#6
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11745
Zitat coolnik;24159411
Biometrische Daten lassen sich auch irgendwie abgreifen. Was soll da sicherer sein??

Venenscanner z.B. erkennen eindeutig ob das Körperteil lebt, oder nicht.
Davon abgesehen, da du den Hackebeil erwähnst.. würdest du nicht sofort dein Passwort/Pin heraus geben, wenn jemand mit dem Beil hinter dir am Geldautomaten steht?
#7
Registriert seit: 14.08.2007

Kapitänleutnant
Beiträge: 1924
Das war jetzt überspitzt, aber wenn plötzlich jeder Geldautomat über einen biometrischen Scanner verfügen würde, dann gäbe es auch wieder genug Anreiz den zu knacken. Ein Venenscanner kann sicherlich auch irgendwie überlistet werden, dann hab ich lieber meine Pin im Kopf als meinen Fingerabdruck an der Karte, dem iPhone, ...., der Datenbank der Sparkasse, usw. Im Falle eines Diebstahls wird es schwer werden seine Biometrischen Daten nachträglich zu ändern.

Edit: Okay. Ein Handvenenscanner scheint wohl doch ein sehr sicheres System zu sein. Selbst, wenn man die nötigen Daten hätte, scheint es nahezu unmöglich bzw irrsinnig teuer zu sein ein funktionierendes Imitat herzustellen. Am Geldautomaten wird man vermutlich kein Opfer eines solchen Angriffs werden, da es dort einfachere Möglichkeiten gibt an die Pin zu kommen und weil die Karte noch ausgelesen werden muss.
Ich kann mir aber ein Szenario vorstellen, in dem man Sicherheitsschlösser knacken will (Safe, Sicherheitsbereiche, Alarmanlagen,...). Wenn man einem Mitarbeiter mit Zutritt eine solche Uhr unterjubeln kann und sich die Pins nicht regelmäßig ändern, dann hat man spätestens nach dem dritten Arbeitstag zu 100% alle Pins um sich Zugang verschaffen zu können.
#8
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 12744
Bei der ganzen Biometrie-Sensoren warte ich nur drauf dass die eigenen Daten gegen einen verwendet werden.

- Sie wollen sich bei uns versichern? Das wird nix. Bei Ihnen besteht ein sehr großes Herzinfaktrisiko :D
--> Smarthandy, Wearables & Co. lassen grüßen :vrizz:

Oder noch besser. Alles wurde auf Biometrie und kontaktlos (NFC, ...) umgesellt. Es ist ja sicherer :D
Puste kuchen. In diesem Fall ist es für kriminelle sehr attraktiv und entweder "hacken" Sie dich oder die
Firmen / Behörden die bereits diese Daten schon haben. Und wir wissen ja alle wie gut "gesichert" unsere
Daten bei den ganzen Firmen / Behörden sind.

Aber es muss bequem sein und schnell gehen :wall:
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11745
Zitat MENCHI;24161516
- Sie wollen sich bei uns versichern? Das wird nix. Bei Ihnen besteht ein sehr großes Herzinfaktrisiko :D

Diese Möglichkeit besteht, aber das zu verhindern ist erstens Sache der Politik und zweitens kann man sich durchaus die Frage stellen ob ein Unternehmen nicht durchaus das Recht hat, soetwas zu wissen, bevor sie dir einen Dienst anbieten.

Zitat MENCHI;24161516

Oder noch besser. Alles wurde auf Biometrie und kontaktlos (NFC, ...) umgesellt. Es ist ja sicherer :D
Puste kuchen. In diesem Fall ist es für kriminelle sehr attraktiv und entweder "hacken" Sie dich oder die
Firmen / Behörden die bereits diese Daten schon haben. Und wir wissen ja alle wie gut "gesichert" unsere
Daten bei den ganzen Firmen / Behörden sind.

Die Daten an sich nutzen aber nichts, wenn man nicht mit annähernd vertretbarem Aufwand, die biometrischen Daten dann faken kann.

Zitat MENCHI;24161516
Aber es muss bequem sein und schnell gehen :wall:

Richtig, denn was ist die Alternative? Wegen ein klein wenig mehr Sicherheit, den Schwanz einziehen und sich abschotten?
Da faellt mir doch glatt Franklin's Spruch ein.
#10
Registriert seit: 08.12.2007

Korvettenkapitän
Beiträge: 2231
Zitat DragonTear;24161880
Diese Möglichkeit besteht, aber das zu verhindern ist erstens Sache der Politik und zweitens kann man sich durchaus die Frage stellen ob ein Unternehmen nicht durchaus das Recht hat, soetwas zu wissen, bevor sie dir einen Dienst anbieten.


Fängt ja schon an, die Techniker Krankenkasse bietet ja schon einen "Zuschuss" für Smartwatches an. Die Gesetze kommen für sowas immer viel zu spät.
Finde auch dass die Leute vorsichtiger mit sowas sein sollten, bin ehrlich gesagt auch kein Fan von Fingerbadrucksensor im Handy, darf man aber schon gar nicht erwähnen, da man sonst als uncool oder paranoid bezeichnet wird.
#11
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11745
Zitat teiger;24163478
Fängt ja schon an, die Techniker Krankenkasse bietet ja schon einen "Zuschuss" für Smartwatches an.

Weil davon ausgegangen wird, dass man dadurch etwas mehr auf seine Gesundheit und Bewegung achtet. Das ist durchaus was gutes, wuerde ich sagen.
#12
Registriert seit: 08.12.2007

Korvettenkapitän
Beiträge: 2231
Das denke ich ist eher der kleinere Punkt, Datensammeln ist für mich das Stichwort. Wenig Bewegung? Hoher Puls? Höhere Wahrscheinlichkeit für Krankenhausaufenthalte -> teurere Versicherung ;)
#13
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11745
Zitat teiger;24170185
Das denke ich ist eher der kleinere Punkt, Datensammeln ist für mich das Stichwort. Wenig Bewegung? Hoher Puls? Höhere Wahrscheinlichkeit für Krankenhausaufenthalte -> teurere Versicherung ;)

Das ist doch das selbe: Bewegung -> Zsuchuss -> günstiger.
Dh. Keine Bewegung -> Kein Zuschsus -> teurer.
#14
Registriert seit: 08.12.2007

Korvettenkapitän
Beiträge: 2231
Nein, ist eben nicht das selbe, das ist wie wenn du Bestrafung und Belohnung gleichstellst, genau das Gegenteil ;)

Beispiel, alle die nicht verheiratet sind, müssen einen Steuerzuschlag zahlen, die verheiratet sind, zahlen den normalen Steuersatz -> kommt nicht gut bei der Bevölkerung an.
Verheiratete bekommen einen Steuererlass -> kommt besser an.

Ausgangspunkt ist hier anders. Ich weiß was du meinst, dass es im Schnitt das "selbe" ist, ist es aber in dem Fall nicht (wegen dem Ausgangspunkt).
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Netgear Arlo Pro im Test - Kabellose Überwachungskamera mit Cloud

Logo von IMAGES/STORIES/2017/NETGEAR_ARLO_PRO-TEASER

Netgears Arlo-Cams sind schon seit einiger Zeit auf dem Markt und sicher jedem ein Begriff, der schon einmal in Betracht gezogen hat, in seinen eigenen vier Wänden oder auf seinem Grundstück eine Video-Überwachung zu installieren. Jetzt gibt es mit Arlo Pro ein neues Top-Modell, das wir... [mehr]

Creative MUVO 2 und MUVO 2c im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/CREATIVE_MUVO_2_MUVO_2C

Wie lohnenswert das Geschäft mit Bluetooth-Lautsprechern für unterwegs sein muss, zeigt vermutlich kaum etwas so deutlich wie die unüberschaubare Anzahl an Anbietern. Abheben kann man sich entweder über den Preis oder Qualität und Ausstattung. Mit dem MUVO 2 und MUVO 2c zielt Creative auf die... [mehr]

Samsung Gear S3 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SAMSUNG_GEAR_S3_TEASER_KLEIN

Während das Android-Wear-Lager Pause macht, legt Samsung nach. Mit der auf der IFA 2016 vorgestellten Gear S3 bleibt man dem Konzept des Vorgängers treu, will hier und da aber Schwachstellen beseitigt und Stärken weiter ausgebaut haben. Das Ergebnis ist eine größere und schwerere Smartwatch,... [mehr]

Vernetzte Körperanalysewaage Withings Body Cardio im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/WITHINGS-BODY-CARDIO/TEASER

Mit der Body Cardio hat der Hersteller Withings eine Waage entwickelt, die umfangreiche Körperanalysefunktionen bietet und die gewonnenen Daten per WLAN oder Bluetooth synchronisiert. Voll im Trend der Vernetzung ist dabei auch eine Integration mit weiteren Fitness-Diensten möglich, um das... [mehr]

Noblechairs Icon Gamingstuhl im Test

Logo von IMAGES/STORIES/2017/NOBLECHAIRS_TEST

Gamingstuhl im Selbsttest: Viel halte ich ja vom aktuellen Gamingstuhl-Trend nicht. Natürlich, die Dinger sehen cool aus, aber vielleicht bin ich zu alt für jeden neuen Trend. Auch bin ich der Meinung, dass jeder gute Office-Stuhl mehr kann. Aber die Redaktion setzte mir trotzdem den Noblechairs... [mehr]

Creative iRoar Go im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/CREATIVE_IROAR_GO

Manchmal kommt es eben doch auf die Größe an, zumindest wenn es um Lautsprecher geht. Denn trotz aller Fortschritte lässt sich die Physik am Ende nicht überlisten - Klang, Volumen und Funktionen brauchen Platz. All das soll Creatives iRoar Go bieten und am Ende doch noch ein Allrounder für... [mehr]