HOME

Sicherheitsforscher packt aus: So kann Ihr Smartphone Sie ausspionieren - obwohl Sie alles abgeschaltet haben

Über GPS und Co. können uns Smartphones permanent überwachen. Zum Glück kann man die Funktionen aber abschalten. Ein Forscher erklärt nun, wie man diese Sicherheitsmaßnahmen trotzdem aushebelt - und warum das kaum zu verhindern ist.

Smartphone Spionage Apps

Apps können unsere Smartphones ausspionieren - selbst, wenn wir die Funktionen abschalten

Getty Images

Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: sind die perfekten Überwachungsgeräte. Weil das den Herstellern durchaus bewusst ist, kann man Apps den Zugriff auf die kritischen Features verweigern. Wozu braucht schließlich ein Kinderspiel den Standort? Das Problem: Wer es unbedingt will, kann die Schutzfunktionen umgehen - und das fehlender Genehmigung Standort oder Tastatur-Eingaben mitschneiden. 

Das erklärt Guevara Noubir in einem Beitrag in "The Conversation". Schuld an den scheiternden Schutzmaßnahmen sind aber nicht direkt die Hersteller, sondern die vielen zusätzlichen Sensoren der Smartphones, so der Experte. Er weiß, wovon er spricht: Noubir erforscht an der Northeastern University in Boston mit seinem Team so genannte "Sidechannel Attacks", also Angriffe, die über ungewöhnliche Ansätze Sicherheitsmaßnahmen aushebeln.

+++ Spionierende Apps: Hier erfahren Sie mehr über das unheimliche Eigenleben Ihres Smartphones +++

Über die Flanke erwischt

Die Idee hinter den "Sidechannel Attacks" ist einfach: Man kann sein System nur dort absichern, wo man mit Angriffen rechnet. Noubir wählt einen einfachen Vergleich: " sind dazu entworfen, die Insassen bei einem Zusammenstoß mit anderen Wagen, Gebäuden oder Telefonmasten zu schützen. Sie sind nicht dafür gebaut, Menschen vor den Folgen eines Sturzes von einer Klippe oder eines auf das Dach fallenden Felsens zu bewahren." Um im Bild zu bleiben: Wer ein Smartphone knacken will, muss also nur den passenden Felsen finden.

Und Noubirs Team sucht genau nach solchen Ansätzen. So fanden sie etwa heraus, wie man Passworteingaben über die Display-Tastatur mitscheiden kann. Ohne dass die für den Angriff genutzte App Zugriff auf die Tastatur hat. Stattdessen belauschten die Forscher über das Mikrofon die Anschläge des Fingers auf dem Display. Die Aufzeichnungen glichen sie mit den Daten des Gyroskops ab, also dem Sensor, der die Ausrichtung des Smartphones misst. Beim Tippen bewegt sich das Gerät nämlich ganz leicht - und zwar abhängig davon, wo genau man auf das Display drückt. "In 90 Prozent der Fälle haben wir richtig gelegen", erklärt Noubir.

 

Ortung ohne GPS

Bei der Ortung ist es ähnlich. Der fehlende Zugriff auf hält Angreifer nicht zwangsläufig davon ab, das Gerät orten zu können. "Die Route eines Fahrers lässt sich auf einige Wendungen herunterbrechen. Jede in eine bestimmte Richtung", erklärt der Experte. Mit dem Kompass lasse sich die Richtung feststellen, das Gyroskop misst die Winkel beim Abbiegen, der Beschleunigungssensor weiß, ob das Auto stoppt oder schneller wird. Und schon hat man die Fahrt in eine optische Route umgewandelt. Nun muss man nur noch die Stelle finden, an der die Straßen so angeordnet sind.

"In unserem Falle wussten wir, in welcher Stadt wir die Leute trackten. Ein ähnlicher Ansatz könnte aber genutzt werden, um herauszufinden, in welcher Stadt eine Person sich aufhält." Innerhalb von Boston könne der Algorithmus die Route schon recht zuverlässig erkennen. Mit mehr Aufwand, genaueren Daten und Optimierungen ginge sicher noch mehr, vermutet Noubir.

Daten lassen sich nicht sperren

Wirklich gruselig ist der Ansatz, wenn man sich bewusst macht, dass die genutzten Daten wirklich jeglichen zur Verfügung stehen. Weder Apples iOS noch Googles System Android lassen den Zugriff auf das Gyroskop oder den Beschleunigungssensor sperren. Will ein Programmierer die darüber gesammelten Daten missbrauchen, kann ihn der Nutzer nicht davon abhalten.

Beim iPhone hilft immerhin, dass die Apps nach wenigen Minuten im Hintergrund eingefroren werden. Apps können also nur Daten sammeln, wenn sie aktiv genutzt werden. Bei Android ist das nicht der Fall. Auch bei Apple gibt es aber Ausnahmen wie Navigations- und Musik-Apps, die auch im Hintergrund aktiv sein dürfen. Und natürlich wurde auch diese Beschränkung bereits ausgenutzt: Die offizielle -App lief eine Zeit lang heimlich im Hintergrund - indem sie einen für den Menschen unhörbaren Ton abspielte. Facebook betonte, es habe sich um eine Fehlfunktion gehandelt.

Ob das stimmt, ist natürlich nicht nachvollziehbar. Sicher ist: Eine solche App wäre der Traum eines jedes Angreifers. Schließlich hat Facebook auf den meisten Smartphones auch Zugriff auf Kamera, Mikrofon und GPS. Ganz offiziell.

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.