Cyberkriminalität 16.08.2019, 07:02 Uhr

Per Smartphone den Computer belauschen

E-Mails mit verdächtigen Attachments sind ein bekannter Weg, um Daten vom Computer abzugreifen. Jetzt warnen IT-Experten vor der Möglichkeit, Smartphones zu kapern und damit akustische Signale der Tastatur zu erfassen.

Smartphone und Computer

Foto: panthermedia.net/DimaBaranow

Bislang waren vor allem Laptop- und Desktop-Computer Ziel von Hackern, um Daten aller Art abzugreifen. Per E-Mail, USB-Speicher und Netzwerk versuchten sie, Schadprogramme, sprich Malware, zu installieren. Gelang ihnen das, war der Weg zum Diebstahl sensibler Daten nicht mehr weit. Da Geräte vor allem im professionellen Bereich immer besser geschützt werden, steigt der Aufwand immens. Doch es gibt Alternativen.

IT-Experten am Darwin Deason Institute for Cybersecurity der Southern Methodist University (SMU) in Dallas, Texas, warnen vor neuen Strategien von Cyberkriminellen. Im Rahmen einer Studie zeigen sie, dass sich Sensoren in Smartphones von außen ansteuern lassen, um Schallwellen zu erfassen. Dieser Lauschangriff lässt sich nutzen, um herauszufinden, welche Tasten in welcher Reihenfolge betätigt werden. Und schon sind Passwörter in falschen Händen.

Top Stellenangebote

Zur Jobbörse
EF Holding GmbH-Firmenlogo
Betriebsleiter (m/w/d) Stahlwerk EF Holding GmbH
Salzgitter Zum Job 
Hillenbrand-Firmenlogo
Elektrotechnikingenieur Hardwarekonstruktion (m/w/d) Hillenbrand
Weingarten Zum Job 
Hillenbrand-Firmenlogo
Inbetriebnahmeingenieur/-techniker (m/w/d) Verfahrenstechnik Hillenbrand
Stuttgart Zum Job 
Hillenbrand-Firmenlogo
Projektingenieur Forschung & Entwicklung (m/w/d) Hillenbrand
Weingarten Zum Job 
atmosfair-Firmenlogo
Business Developer / Negativ-Emissionen / technische CO2-Speicherung (m/w/d) atmosfair
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter/in Bau und Erhaltung im Bereich Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
Freiburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur/in konstruktiver Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter/in (w/m/d) Straßenbau Die Autobahn GmbH des Bundes
Freiburg Zum Job 
atmosfair-Firmenlogo
Bereichsleiter Klimaschutzprojekte (d/m/w) atmosfair
atmosfair-Firmenlogo
Teamleiter Klimaschutz, "Effiziente Öfen" Afrika und Asien (d/m/w) atmosfair
DREWAG - Stadtwerke Dresden GmbH-Firmenlogo
Projektingenieur*in Wassergewinnungs- und -aufbereitungsanlagen DREWAG - Stadtwerke Dresden GmbH
Dresden Zum Job 
DREWAG - Stadtwerke Dresden GmbH-Firmenlogo
Projektingenieur*in Wasserverteilung DREWAG - Stadtwerke Dresden GmbH
Dresden Zum Job 
Deutsche Rentenversicherung Bund-Firmenlogo
TGA-Expert*in Versorgungstechnik mit Schwerpunkt Energieeffizienz (m/w/div) Deutsche Rentenversicherung Bund
Berlin-Wilmersdorf Zum Job 
SWM GmbH-Firmenlogo
Senior Projektmanager*in Programme in der Mobilität (m/w/d) SWM GmbH
München Zum Job 
Stuttgart Netze GmbH-Firmenlogo
(Junior) Projektingenieur Baukoordination Gas- und Stromnetz (w/m/d) Stuttgart Netze GmbH
Stuttgart Zum Job 
RENK Test System GmbH-Firmenlogo
Ingenieur (m/w/d) Antriebstechnik RENK Test System GmbH
Augsburg Zum Job 
Siegfried PharmaChemikalien Minden GmbH-Firmenlogo
Projektingenieur Betrieb (w/m/d) Siegfried PharmaChemikalien Minden GmbH
Albtal-Verkehrs-Gesellschaft mbH-Firmenlogo
Bauingenieur*in / Techniker*in (m/w/d) als Projektleiter*in Infrastrukturanlagen Albtal-Verkehrs-Gesellschaft mbH
Karlsruhe Zum Job 
Hermann Pipersberg Jr. GmbH-Firmenlogo
Fertigungsingenieur (m/w/d) Hermann Pipersberg Jr. GmbH
Remscheid Zum Job 
Universitätsklinikum Tübingen-Firmenlogo
Energiemanagerin / Energiemanager (w/m/d) Universitätsklinikum Tübingen
Tübingen Zum Job 

Experimente im Konferenzraum 

Die Forscher wollten ein Szenario schaffen, das realistischen Gegebenheiten bei Firmen entspricht. Deshalb entschlossen sie sich, ihre Experimente in einen Konferenzraum der Universität zu verlegen. Mehrere Personen setzen sich an einen großen Tisch und arbeiteten an ihren Laptops. Neben ihnen lagen mehrere Smartphones in unterschiedlichem Abstand zu den tragbaren Computern.

Ihre Aufgabe: Sie sollten keinen fertigen Text abschreiben, sondern unvollständige Sätze in ihren Beitrag einbauen und Tippfehler nicht korrigieren. Das entspricht einem möglichst realistischen Szenario – vergleichbar zum Arbeitsplatz.

Trotzdem gelang es den IT-Experten, mit einem verständlicherweise nicht näher beschriebenen Tool die Tastaturanschläge zu entschlüsseln – sogar in einem Konferenzraum mit Störgeräuschen. „Wir konnten mit einer Wortgenauigkeitsrate von 41 % erfassen, was gerade geschrieben wurde“, berichtet Eric C. Larson. Er ist Assistenzprofessor am Institut für Informatik der SMU Lyle School. Larson weiter: „Der Wert ließ sich auf deutlich über 41 % erhöhen, wenn wir Listen mit den zehn häufigsten Wörtern verwendeten.“ Auf was für abstruse Sicherheitsversuche sie dabei stoßen würden, zeigt die Liste der beliebtesten Passwörter der Deutschen.

Lauschangriff mit aktiven Sensoren

Aber wie funktioniert ihr Hack? „Es gibt viele Arten von Sensoren in Smartphones, die bewirken, dass ein Telefon seine Ausrichtung registriert oder erkennt, wenn es still auf einem Tisch liegt oder in der Tasche einer anderen Person getragen wird“, erklärt Larson. „Bei manchen dieser Fühler muss ein Benutzer explizit die Erlaubnis zum Einschalten erteilen, viele von ihnen sind jedoch immer eingeschaltet.“ Die Ingenieure entwickelten eine App, um aktive Messfühler extern anzusteuern und akustische Signale zu erfassen. Das klappte erstaunlich gut.

Dennoch zeigten sich einige Herausforderungen für Cyberkriminelle. Ein virtueller Angreifer müsste den Materialtyp des Tisches kennen, da diese unterschiedliche Schallwellen erzeugen. Zum Beispiel klingt ein Holztisch, wie er in dieser Studie verwendet wurde, anders als einer aus Metall. Wirkliche Hürden sieht Larson darin allerdings nicht. Von den Geräteherstellern fordert er deshalb höhere Standards: „Smartphone-Hersteller müssen die Privatsphäre ihrer Geräte verbessern, damit Dritte nicht unbefugt auf aktive Sensoren zugreifen können.“

Das Smartphone wird zur Zielscheibe

In vielen Fällen haben es Hacker ohnehin deutlich einfacher, Smartphones zu kapern, weil Anwender ihnen auf den Leim gehen. Heißt ein WLAN beispielsweise „Starbucks“ oder „Kongress XYZ“, loggen sie sich ein, ohne groß über die Authentizität des Namens nachzudenken. Und schon können Kriminelle, die markante Namen nur simuliert haben, Daten abgreifen.

Doch es geht noch trickreicher: Im Darknet finden sich manipulierte Ladekabel, die man mit dem iPhone und dem Computer verbindet. Darin verbirgt sich raffinierte Elektronik. Per WLAN greifen Hacker auf die Hardware zu und können sensible Daten abziehen. Über diesen Weg gelingt es sogar, Geräte fernzusteuern, um beispielsweise Nachrichten zu verschicken. Andere dubiose Quellen verkaufen sogenannte „Cellebrite Universal Forensic Extraction Devices“ (UFED). Solche Geräte eignen sich, um iPhones und Android-Handys zu übernehmen. Diverse US-Behörden wie das FBI oder das Heimatschutz-Ministerium nutzen UFEDs. Sogar gelöschte Daten sollen damit auslesbar sein. Gegen Tools dieser Art werden Smartphone-Hersteller nicht ankommen. Vielmehr ist es an der Zeit, illegale Märkte stärker einzudämmen.

Mehr zum Thema Cyberkriminalität:

Ein Beitrag von:

  • Michael van den Heuvel

    Michael van den Heuvel hat Chemie studiert. Unter anderem arbeitet er für Medscape, DocCheck, für die Universität München und für pharmazeutische Fachmagazine. Seit 2017 ist er selbstständiger Journalist und Gesellschafter von Content Qualitäten. Seine Themen: Chemie/physikalische Chemie, Energie, Umwelt, KI, Medizin/Medizintechnik.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.