Moderne Smartphones bieten ein Sammelsurium an verschiedenen Sensoren auf. Sie messen Beschleunigung, Bewegung und andere Daten. Umgesetzt werden damit simple Funktionen wie das automatische Drehen des Bildschirminhalts beim Neigen des Handys, bis hin zur Auswertung unserer sportlichen Leistungen.

Der Output der winzigen Messgeräte ist freilich nicht nur für uns interessant. Nicht nur verraten sie durch erkennbare Muster – beispielsweise erzeugt beim Gehen und Laufen – etwas über unseren Lebensstil, sondern können auch sicherheitsrelevante Informationen preisgeben. Forschern der Newcastle University ist es nun gelungen, damit den Code für die Bildschirmsperre zu knacken, berichtet Popular Science.

74 Prozent Genauigkeit im ersten Anlauf

Sie haben dazu zuerst ein neuronales Computernetzwerk mit den Sensordaten gefüttert, die beim Eintippen verschiedener vierstelliger Codes aufgezeichnet wurden. Anschließend entwickelten sie eine Malware, die einen auf Javascript basierenden Exploit ausnutzte. Es reichte aus, einen Link anzuklicken, um den Schädling die Sensordaten mithören und an das neuronale Netzwerk übermitteln zu lassen.

Das Mithören funktionierte auch nach dem Sperren des Bildschirms. In 74 Prozent der Fälle errechnete die Malware den korrekten Entsperrcode des Nutzers, nachdem dieser ihn zum ersten Mal eingetippt hatte. Nach drei Entsperrvorgängen lag die Trefferrate bereits bei 94 Prozent.

Lücke behoben

Die Wissenschaftler informierten die Hersteller der mobilen Browser über das Leck. Für Apples Surftool Safari ist die Schwachstelle seit iOS-Version 9.3 beseitigt. Auch unter Firefox soll das Problem schon vergangenes Jahr behoben worden sein. Eine Anfrage an Google bezüglich des Chrome-Browsers blieb bislang unbeantwortet. Ihre Erkenntnisse haben sie im Journal Information Security veröffentlicht.

Auch auf anderem Wege können die Sensoren von Handys und anderen Geräten genutzt werden, um Daten auszulesen oder sie zu manipulieren. US-Forschern ist es beispielsweise gelungen, Apps und Fitness-Wearables mittels eines "musikalischen Virus" zu steuern. (red, 11.04.2017)