Schulter-Surfen leicht gemacht

Aus Videomaterial können Forscher die Zugangszahlenkombinationen von mobilen Geräten errechnen, auch wenn das Display selbst nicht im Bild ist. Die Fingerbewegungen allein verraten den Code. Besonders Google Glass ist eine geeignete Quelle.

Die Videofunktion der Datenbrille Glass hat Google viel Kritik eingebracht. Sie sei ein weiterer Einbruch in die Privatsphäre, monieren Netzbürgerrechtler und Datenschützer. Wie Forscher der University of Minnesota nun entdeckt haben, ist Glass wohl auch ein echtes Sicherheitsrisiko: Mit Hilfe einer eigenen Software konnten sie die Zahlenkombination rekonstruieren, die mittels Videofunktion gefilmte Personen in ihre Smartphones eingeben – und zwar auch dann, wenn deren Display im Video gar nicht sichtbar ist.

Es genügt, dass die Fingerbewegungen im Bild sind. Das Ausspähen ist nicht auf Glass-Videos beschränkt. Auch Filmmaterial von Digitalkameras, Webcams und Smartphones liefern der Software die nötige Information. Dieses „Schulter-Surfen“ könnte sich in den nächsten Jahren zu einer ernsthaften Bedrohung entwickeln, wenn sich entsprechende Software auf Endgeräten verbreitet.

In Tests konnte die Software von Qinggang Yue und seinen Kollegen die Fingerbewegungen sogar entschlüsseln, wenn die gefilmten Personen drei Meter von der Kamera entfernt standen. Die Treffergenauigkeit lag bei ungefähr 90 Prozent. In den Tests waren auch Kombinationen aus vier Zeichen enthalten, die über die eingeblendete QWERTY-Tastatur des iPhones eingegeben werden.

Laut Yue könne man theoretisch auch kurze SMS oder andere Textnachrichten rekonstruieren. „Mit Glass ist das besonders heimtückisch“, sagt Yue, der die Arbeit vergangene Woche auf der Black-Hat-Konferenz vorgestellt hat. Gegenüber Technology Review identifizierte er in der geschäftigen Pressezentrale eine ganze Reihe von Reportern, die an ihren Smartphones zugange waren und dadurch Opfer eines Angriffs werden könnten.

Yue zeigte auch, wie aus größerer Entfernung aufgenommenes Videomaterial zum Knacken von Zahlenkombinationen genutzt werden könnte. In einem Experiment gelang es mit Hilfe einer Digitalkamera, aus dem ersten Stock eines Gebäude einen 43 Metern entfernten Passanten auszuspähen. Der tippte auf einem iPad, scheinbar unbeobachtet, die Zahlenkombination ein – die Software ermittelte anschließend die korrekte Zahlenfolge. „Mit einer Kamera mit größerer Brennweite könnte man die Entfernung noch hochschrauben“, sagt Yue.

Die Software kann mobile Geräte selbständig in Videomaterial identifizieren. Anschließend bestimmt sie Lage und Orientierung des Bildschirms eines mobilen Gerätes sowie die Fingerpositionen und Tippgeschwindigkeit des Nutzers. Yue und seine Kollegen arbeiten mit Maschinenlernen- Algorithmen, um die Software bei diesem Entschlüsselungsvorgang zu trainieren. Die läuft vorerst nur auf einem PC und nicht auf dem Smartphone selbst, mit dem Google Glass verbunden ist.

Yue und seine Kollegen probieren derzeit verschiedene Schutzmethoden gegen das Schulter-Surfen aus. Eine wäre, die Position der Ziffern auf der Zahlentastatur immer wieder zu verändern, so dass nicht sicher ist, dass etwa 1 oben links steht. Denkbar wäre auch, Funktionsbuttons innerhalb eines Rasters die Positionen wechseln zu lassen.

(nbo)