Cyberkriminalität 16.08.2019, 07:02 Uhr

Per Smartphone den Computer belauschen

E-Mails mit verdächtigen Attachments sind ein bekannter Weg, um Daten vom Computer abzugreifen. Jetzt warnen IT-Experten vor der Möglichkeit, Smartphones zu kapern und damit akustische Signale der Tastatur zu erfassen.

Smartphone und Computer

Foto: panthermedia.net/DimaBaranow

Bislang waren vor allem Laptop- und Desktop-Computer Ziel von Hackern, um Daten aller Art abzugreifen. Per E-Mail, USB-Speicher und Netzwerk versuchten sie, Schadprogramme, sprich Malware, zu installieren. Gelang ihnen das, war der Weg zum Diebstahl sensibler Daten nicht mehr weit. Da Geräte vor allem im professionellen Bereich immer besser geschützt werden, steigt der Aufwand immens. Doch es gibt Alternativen.

IT-Experten am Darwin Deason Institute for Cybersecurity der Southern Methodist University (SMU) in Dallas, Texas, warnen vor neuen Strategien von Cyberkriminellen. Im Rahmen einer Studie zeigen sie, dass sich Sensoren in Smartphones von außen ansteuern lassen, um Schallwellen zu erfassen. Dieser Lauschangriff lässt sich nutzen, um herauszufinden, welche Tasten in welcher Reihenfolge betätigt werden. Und schon sind Passwörter in falschen Händen.

Top Stellenangebote

Zur Jobbörse
Open Grid Europe GmbH-Firmenlogo
Koordinator (m/w/d) Energiedatenmanagement Schwerpunkt Messzugang Open Grid Europe GmbH
Albert Handtmann Metallgusswerk GmbH & Co. KG-Firmenlogo
Simulationsingenieur (m/w/d) Strukturmechanik Automotive Albert Handtmann Metallgusswerk GmbH & Co. KG
Biberach an der Riss Zum Job 
Open Grid Europe GmbH-Firmenlogo
Projektingenieur Anlagenbau / Maschinenbau / Gasturbinen (m/w/d) Open Grid Europe GmbH
Deutsche Infineum GmbH & Co. KG-Firmenlogo
Plant Contact Engineer (m/w/d) Deutsche Infineum GmbH & Co. KG
Open Grid Europe GmbH-Firmenlogo
Ingenieur als Projektleiter Rohrleitungstechnik (m/w/d) Open Grid Europe GmbH
ASML-Firmenlogo
Prozessingenieur:in Laser-Strukturierung ASML
ASML-Firmenlogo
Prozessingenieur:in Klebetechnologie ASML
ASML-Firmenlogo
Projektleiter:in Product Engineering ASML
Regierungspräsidium Freiburg-Firmenlogo
Master / Diplom (Univ.) Bauingenieurwesen oder vergleichbar mit Schwerpunkt konstruktiver Ingenieurbau Regierungspräsidium Freiburg
Freiburg Zum Job 
Knauf PFT GmbH & Co. KG-Firmenlogo
Betriebsleiter Baumaschinenfertigung (m/w/d) Knauf PFT GmbH & Co. KG
Iphofen Zum Job 
Fraunhofer-Gesellschaft-Firmenlogo
Architekt*in / Dipl.-Ingenieur*in - Vergabe von Bau- & Bauplanungsleistungen Fraunhofer-Gesellschaft
München Zum Job 
Kromberg & Schubert Automotive GmbH & Co. KG-Firmenlogo
Qualitätsingenieur BMW (m/w/d) Kromberg & Schubert Automotive GmbH & Co. KG
Abensberg bei Regensburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieurin oder Ingenieur Verkehrsbehörde (w/m/d) Die Autobahn GmbH des Bundes
Bad Gandersheim, Hannover Zum Job 
Rittal-Firmenlogo
Prüfingenieur / Prüftechniker (m/w/d) Elektrotechnik Produktentwicklung Stromverteilung Rittal
Herborn Zum Job 
Niedersächsische Landgesellschaft mbH-Firmenlogo
Bauingenieur Baulandentwicklung Tiefbau (m/w/d) Niedersächsische Landgesellschaft mbH
Osnabrück Zum Job 
Niedersächsische Landgesellschaft mbH-Firmenlogo
Bauingenieur oder Architekt als Projektleiter im Agrar- und Spezialbau (m/w/d) Niedersächsische Landgesellschaft mbH
Lüneburg Zum Job 
Niedersächsische Landgesellschaft mbH-Firmenlogo
Bauingenieur oder Architekt als Projektmanager im Agrar- und Spezialbau (m/w/d) Niedersächsische Landgesellschaft mbH
Bremerhaven Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
Ingenieur (m/w/d) für die Prüfung von Planungen und Bauvorbereitungen im Bereich der kommunalen Straßenbauförderung Niedersächsische Landesbehörde für Straßenbau und Verkehr
Metropolregion Hannover / Braunschweig / Göttingen / Wolfsburg Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
Bauingenieure (w/m/d) Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
Ingenieur (w/m/d) für die Prüfung von Planungen und Bauvorbereitungen im Bereich der kommunalen Straßenbauförderung Niedersächsische Landesbehörde für Straßenbau und Verkehr
Metropolregion Hannover / Braunschweig / Göttingen / Wolfsburg Zum Job 

Experimente im Konferenzraum 

Die Forscher wollten ein Szenario schaffen, das realistischen Gegebenheiten bei Firmen entspricht. Deshalb entschlossen sie sich, ihre Experimente in einen Konferenzraum der Universität zu verlegen. Mehrere Personen setzen sich an einen großen Tisch und arbeiteten an ihren Laptops. Neben ihnen lagen mehrere Smartphones in unterschiedlichem Abstand zu den tragbaren Computern.

Ihre Aufgabe: Sie sollten keinen fertigen Text abschreiben, sondern unvollständige Sätze in ihren Beitrag einbauen und Tippfehler nicht korrigieren. Das entspricht einem möglichst realistischen Szenario – vergleichbar zum Arbeitsplatz.

Trotzdem gelang es den IT-Experten, mit einem verständlicherweise nicht näher beschriebenen Tool die Tastaturanschläge zu entschlüsseln – sogar in einem Konferenzraum mit Störgeräuschen. „Wir konnten mit einer Wortgenauigkeitsrate von 41 % erfassen, was gerade geschrieben wurde“, berichtet Eric C. Larson. Er ist Assistenzprofessor am Institut für Informatik der SMU Lyle School. Larson weiter: „Der Wert ließ sich auf deutlich über 41 % erhöhen, wenn wir Listen mit den zehn häufigsten Wörtern verwendeten.“ Auf was für abstruse Sicherheitsversuche sie dabei stoßen würden, zeigt die Liste der beliebtesten Passwörter der Deutschen.

Lauschangriff mit aktiven Sensoren

Aber wie funktioniert ihr Hack? „Es gibt viele Arten von Sensoren in Smartphones, die bewirken, dass ein Telefon seine Ausrichtung registriert oder erkennt, wenn es still auf einem Tisch liegt oder in der Tasche einer anderen Person getragen wird“, erklärt Larson. „Bei manchen dieser Fühler muss ein Benutzer explizit die Erlaubnis zum Einschalten erteilen, viele von ihnen sind jedoch immer eingeschaltet.“ Die Ingenieure entwickelten eine App, um aktive Messfühler extern anzusteuern und akustische Signale zu erfassen. Das klappte erstaunlich gut.

Dennoch zeigten sich einige Herausforderungen für Cyberkriminelle. Ein virtueller Angreifer müsste den Materialtyp des Tisches kennen, da diese unterschiedliche Schallwellen erzeugen. Zum Beispiel klingt ein Holztisch, wie er in dieser Studie verwendet wurde, anders als einer aus Metall. Wirkliche Hürden sieht Larson darin allerdings nicht. Von den Geräteherstellern fordert er deshalb höhere Standards: „Smartphone-Hersteller müssen die Privatsphäre ihrer Geräte verbessern, damit Dritte nicht unbefugt auf aktive Sensoren zugreifen können.“

Das Smartphone wird zur Zielscheibe

In vielen Fällen haben es Hacker ohnehin deutlich einfacher, Smartphones zu kapern, weil Anwender ihnen auf den Leim gehen. Heißt ein WLAN beispielsweise „Starbucks“ oder „Kongress XYZ“, loggen sie sich ein, ohne groß über die Authentizität des Namens nachzudenken. Und schon können Kriminelle, die markante Namen nur simuliert haben, Daten abgreifen.

Doch es geht noch trickreicher: Im Darknet finden sich manipulierte Ladekabel, die man mit dem iPhone und dem Computer verbindet. Darin verbirgt sich raffinierte Elektronik. Per WLAN greifen Hacker auf die Hardware zu und können sensible Daten abziehen. Über diesen Weg gelingt es sogar, Geräte fernzusteuern, um beispielsweise Nachrichten zu verschicken. Andere dubiose Quellen verkaufen sogenannte „Cellebrite Universal Forensic Extraction Devices“ (UFED). Solche Geräte eignen sich, um iPhones und Android-Handys zu übernehmen. Diverse US-Behörden wie das FBI oder das Heimatschutz-Ministerium nutzen UFEDs. Sogar gelöschte Daten sollen damit auslesbar sein. Gegen Tools dieser Art werden Smartphone-Hersteller nicht ankommen. Vielmehr ist es an der Zeit, illegale Märkte stärker einzudämmen.

Mehr zum Thema Cyberkriminalität:

Ein Beitrag von:

  • Michael van den Heuvel

    Michael van den Heuvel hat Chemie studiert. Unter anderem arbeitet er für Medscape, DocCheck, für die Universität München und für pharmazeutische Fachmagazine. Seit 2017 ist er selbstständiger Journalist und Gesellschafter von Content Qualitäten. Seine Themen: Chemie/physikalische Chemie, Energie, Umwelt, KI, Medizin/Medizintechnik.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.