Wenn die Smartwatch zum Alptraum wird

Forscher haben bewiesen, dass Angreifer über die Bewegungssensoren in Smartwatches die Eingabe von Zahlenfolgen nachvollziehen können. Was bedeutet das für die Sicherheit?

Es scheint, als hätte jeder Hersteller seine eigene Smartwatch. Die kleinen Computer können alles Mögliche überwachen (etwa den Herzschlag), Telefonanrufe verbinden und sogar die Zeit anzeigen (wow). Aber wussten Sie, dass sie auch missbraucht werden können, um nachzuvollziehen, was Sie darauf eintippen?

Ok, das ist etwas Neues.

Wearables wie Fitnessbänder und Smartwatches sorgen schon seit ihrer Einführung für Sicherheitsbedenken. Das liegt vor allem an den ganzen Daten, die sie sammeln und in die Cloud übertragen, und die in die falschen Hände fallen oder an den Meistbietenden verkauft werden können.

Die Hersteller von Fitnessbändern versuchen die Anwender davon zu überzeugen, dass deren Daten sicher sind, doch gleichzeitig verkaufen sie Smartbänder en masse an Firmenkunden. Damit können Firmen diese Wearables zum Beispiel verwenden, um die Gesundheit ihrer Angestellten zu überwachen – und so sollten private Daten nicht behandelt werden. Aber das ist noch nicht einmal das größte Problem von Fitnessbändern und Smartwatches.

Als der Kaspersky-Experte Roman Unuchek herausfand, dass es sehr einfach ist, ein Smartphone mit so ziemlich jedem Fitnessbank zu verbinden, das bereits mit einem anderen Gerät verbunden ist, kam er zunächst zu folgendem positiven Schluss:

„Durch das Hacken des Armbands, das ich besitze, kann ein Angreifer nicht auf alle Nutzerdaten zugreifen, da diese nicht auf dem Band oder dem Handy gespeichert sind. Die offizielle App kopiert die Informationen regelmäßig in die Cloud.“

Später zeigte allerdings Tony Beltramelli, Student an der IT University in Kopenhagen, dass ein Angreifer diese Daten nicht benötigt, um dem Besitzer des Wearable-Geräts zu schaden. In seiner Magisterarbeit beschreibt er, dass ein Hacker, nachdem er Zugriff auf eine Smartwatch erlangt hat, die Gesten des Besitzers mitverfolgen und daraus die auf einer numerischen Tastatur eingegebenen Zeichen nachvollziehen kann.

Das Ganze basiert auf der Tatsache, dass jeder Nutzer seine eigene Art zu tippen hat. Diese Tatsache soll eigentlich der Verbesserung der Sicherheit dienen: Um Zugriff auf ein Gerät oder Daten zu bekommen, reicht es nicht, ein Passwort einzutippen, sondern es muss auch auf eine Bestimmte Art und Weise eingetippt werden – mit dem Muster von Tastenanschlägen, das der Nutzer gewöhnt ist.

In seinem Experiment verwendete Beltramelli eine Android-Wear-basierte Sony Smartwatch 3, eine selbst gefertigte Nummerntastatur und ein Programm mit Fähigkeiten künstlicher Intelligenz. Seine Software kannte sein eigenes, einzigartiges Tippmuster und konnte über die Daten der Bewegungssensoren der Smartwatch die von ihm eingegebenen Zahlen feststellen – und das mit über 60 Prozent Genauigkeit.

 

 

Ok, es kann also jemand eine gehackte Smartwatch missbrauchen, um herauszufinden, was auf einer Tastatur eingegeben wird. Was soll’s?

Damit kann eine Menge passieren.

Denn bei der Nummerntastatur kann es sich um eine PIN-Tastatur an einem Geldautomaten oder den Kartenleser in einem Geschäft handeln, und schon kennt der Hacker den PIN-Code Ihrer Kreditkarte. Oder es handelt sich bei der Tastatur um den Sperrbildschirm Ihres Handys – sobald der Angreifer Ihr Handy in die Finger bekommt, kommt er ganz einfach an alle darauf gespeicherten Informationen, inklusiver Ihrer Kontakte, Nachrichten, Bankkontendaten und so weiter. Und das alles, weil er Ihre PIN kennt.

Und wenn jemand eine Software programmieren kann, die die eingegebenen Zahlen registriert, kann er diese auch sicher so erweitern, dass sie die Buchstaben auf einer normalen Tastatur erkennt. Wenn das passiert, kann ein Hacker alles mitschneiden, das Sie irgendwo eintippen. Wobei Sie natürlich nur eine Smartwatch haben, und damit nur die Eingaben einer Hand mitgeschnitten werden können. Doch etwa die Hälfte der getippten Buchstaben kann schon ausreichen, nachzuvollziehen, was Sie eingetippt haben.

Bisher gibt es keinen Beweis dafür, dass solche Bedrohungen auch schon „in the wild“ anzutreffen sind, aber Sie können uns glauben, dass das bald soweit sein wird, wenn sie sich als praktikabel erweisen. In diesem Fall gibt es nur eine Möglichkeit, sich zu schützen: Man muss sicherstellen, dass keine Schadprogramme auf der Smartwatch installiert sind.

Es gibt zwei weitere Maßnahmen, mit denen Sie die Sicherheit Ihres Wearables verbessern können:

  1. Laden Sie nur Apps von den offiziellen Shops wie Apple App Store, Google Play oder Amazon Appstore herunter. Apps aus diesen Shops sind zwar auch nicht hundertprozentig sicher, wurden aber zumindest von Shop-Mitarbeitern geprüft, zudem haben die Shops ein Filtersystem für schädliche Apps. Dadurch kommt nicht jede App in den Shop.
  1. Verwenden Sie eine zuverlässige Sicherheitslösung. Da alle Apps, die auf Ihre Smartwatch kommen, zunächst auf Ihr Handy heruntergeladen werden, können sie automatisch auf Schädlinge überprüft werden, wenn Kaspersky Internet Security for Android Premium installiert ist.
Tipps