Unwahrscheinlich? Leider nicht! Eine aktuelle Studie fand heraus, dass Hacker Passwörter nur am Klang der Tastenanschläge identifizieren können. So benutzen Cyberkriminelle Mobiltelefone, um ihre Opfer zu belauschen, während sie tippen. Hacker können so tatsächlich Passwörter und sensible Daten stehlen. Möglich wird das durch die Installation einer Malware auf dem entsprechenden Handy, über die Mitschriften mit einer erschreckenden Genauigkeit belauscht werden können, wie Cybersicherheitsexperten der Southern Methodist University in Texas herausfanden. Versteckt wird diese Funktion meist in einer heruntergeladenen App, denn viele Programme fragen nach umfangreichen Zugangsberechtigungen, die die meisten Nutzer ungelesen gewähren.
Doch die Gefahr eines solchen Lauschangriffs geht nicht nur vom eigenen Handy aus. Besonders wer seinen Laptop an öffentlichen Orten wie Cafés, Bibliotheken oder in öffentlichen Verkehrsmitteln verwendet, gerät in die Schusslinie, denn hier könnten auch fremde Handys in unmittelbarer Umgebung mithören. Gefährlich wird es zudem für Unternehmen, denn in Zeiten, in denen jeder sein Smartphone ständig bei sich trägt, ist diese Methode durchaus für Wirtschaftsspionage geeignet.
In ihrer Studie fanden die Forscher heraus, dass Schallwellen, die beim Tippen auf einer Computertastatur entstehen, von einem Smartphone aufgenommen und verarbeitet werden können. Vieles von dem, was mit herkömmlichen Tastaturen und Smartphones getippt wurde, konnten die Forscher entschlüsseln – selbst in lauter Umgebung, wie in einem Konferenzraum oder einem Café. So konnten sie mit einer Wahrscheinlichkeit von 41 Prozent ermitteln, was getippt wurde. Wurden zusätzlich die Top 10 der vermuteten Wörter berücksichtigt, konnte die Trefferquote nochmals deutlich gesteigert werden. Die Studie ergab, dass es oftmals nur Sekunden dauert, die getippten Worte zu ermitteln. Die Forscher hoffen nun, dass die Smartphone-Hersteller auf ihre Studie reagieren und die Zugriffsrechte auf relevante Sensoren besser schützen.
Um ein realistisches Szenario zu schaffen, platzierten die Forscher mehrere Personen in einem Konferenzraum, die miteinander sprachen und sich Notizen auf einem Laptop machten. Auf dem Tisch in der Mitte des Raums waren bis zu acht Mobiltelefone platziert. Die Studienteilnehmer erhielten kein Skript, was sie sagen sollten, wenn sie sprachen, und durften beim Tippen entweder Abkürzungen oder ganze Sätze verwenden. Sie durften Tippfehler korrigieren oder sie nach eigenem Ermessen belassen. Das Team der Studie suchte dabei explizit nach Sicherheitslücken bei der immer im Hintergrund laufenden Sensorik von Mobiltelefonen. „Wir wollten wissen, ob das, was sie auf Ihrem Laptop oder einer anderen Tastatur eingeben, von den Handys wahrgenommen werden kann, die auf dem gleichen Tisch liegen. Die Antwort war ein klares Ja“, erklärt Professor Eric Larson.
Das Problem: Mobiltelefone enthalten Sensoren, mit denen sich das Gerät im Raum orientiert und die erkennen, ob sie gerade still auf einem Tisch liegen oder in der Tasche getragen werden. Einige Sensoren erfordern eine aktive Genehmigung des Nutzers, um aktiv zu werden, aber viele sind leider immer eingeschaltet. Daher ist kaum feststellbar, ob man auf diese Weise gerade gehackt wird. Der Rat der Forscher: Bei Firmenmeetings oder der Eingabe relevanter Daten sollte das Handy ausgeschaltet werden. Es lediglich ein Stück entfernt zu platzieren, kann hingegen unter Umständen nicht ausreichen, wie die Studie zeigte.