Bankdaten und Industriespionage: Die Smartwatch als Sicherheitsrisiko?

Mit der Veröffentlichung der Apple Watch ist die Smartwatch zu einem Massenprodukt geworden. Mit den steigenden Verkaufszahlen müssen wir uns aber auch verstärkt Gedanken zur Sicherheit der kleinen Begleiter im Alltag machen. Ein kleiner Computer voller Sensoren, der am Handgelenk getragen wird, ist prädestiniert für Hackerangriffe. Murtuza Jadliwala vom College of Engineering der Washington State University beschäftigte sich mit dieser Frage.

Smartwatches und Sicherheit

Jadliwala forscht im Bereich Computertechnologie, speziell in Hinblick auf Ethik und Privatsphäre. Das letzte Semester hat er mit verschiedenen Tests bezüglich der Sicherheit von Smartwatches verbracht. Dazu setzte er auf die Mitarbeit von knapp einem Dutzend Studenten der WSU, die Smartwatches tragen. Er kam zu dem Ergebnis, dass die Uhren ein Sicherheitsrisiko darstellen, das von findigen Hackern genutzt werden könnte, um private oder im Extremfall auch geschäftliche Informationen auszuspionieren.

“We think that in using very simple tricks, some hackers can be able to infer what numbers some smartwatch users are typing on their numeric keypads, including PIN codes and other numbers.f It’s a little bit scary”, so Jadliwala.

User müssen die Sensoren ihrer Smartwatch verstehen

Als besonders anfällig stellten sich die Bewegungssensoren der Smartwatches heraus. Bevor ein mobiles Gerät - sei es eine Smartwatch oder ein Smartphone, auf den GPS-Sensor zugreift und Ortsangaben veröffentlicht, muss der Nutzer diesem Vorgang zustimmen. Zwar ist es dennoch möglich, dass Fremde über das Facebook-Profil eines Nutzers Ortsdaten ausspionieren, die dieser eigentlich gar nicht freigeben wollte, aber dies kann nur passieren, wenn der Nutzer sich grob fahrlässig verhält.

Anders sieht die Sicherheitslage bei Bewegungssensoren aus. Diese sind anfällig, und Jadliwalas Assistentin Anindya Maiti, eine Studentin der WSU, erklärt, wieso: “Wearable devices, such as smartwatch, are equipped with a number of sensors, which can capture a variety of contextual information and enable diverse applications. However, these sensors can also become a threat to user privacy.”

Ausspionieren der Banking-PIN

Ein einfaches Beispiel: Mit einer durch Hacker modifizierten Health-App könnte es gelingen, anhand der spezifischen Bewegungen des Handgelenks die Eingaben in ein Smartphone nachzuvollziehen. Viele Banken bieten inzwischen Banking-Apps an, und Jadliwala wies nach, dass die Eingabe der PIN in eine Banking-Software auf dem Smartphone durch Zugriff auf die Daten der Bewegungssensoren der am Handgelenk getragenen Smartwatch nachvollzogen werden kann. Für die Hacker ist dabei unter anderem die Tatsache hilfreich, dass die Erlaubnis des Users für den Zugriff auf diese Sensoren nicht eingeholt werden muss und er nicht nachvollziehen kann, welcher App wann auf die Sensoren zugreift.

Die Hersteller arbeiten an der Problematik

Auf Nachfrage wollte Google als Smartwatch-Hersteller sowie Bereitsteller des verbreiteten Systems Android Wear keine Stellung zu den Ergebnissen von Jadliwala nehmen. Das Unternehmen möchte warten, bis dieser seinen Aufsatz veröffentlicht hat, um die Sache dann zu überprüfen.

Laut Ravi Pendse, einem Sicherheitsforscher an der Brown University, ist die Problematik den Herstellern von Smartwatches aber bereits bekannt. “*They’ve got a lot of reputation at risk, so they’ve got their smartest people working hard already, to keep us all safe”, so Pendse. Er erklärt auch, dass nicht nur die Bewegungssensoren von Smartwatches anfällig sind. Smartphones haben das selbe Problem.

Theoretisch sei es auch möglich, dass findige Hacker Smart-Devices als “Wanze” benutzen, indem sie auf das Mikrofon zugreifen. Dafür müssten sie aber die Freigabe des Mikros durch den Nutzer umgehen. In diesem Szenario könnte das Gerät sogar für Industriespionage genutzt werden.

Im Jahr 2018 werden allein in den USA 150 Smart-Devices im Umlauf sein. Es ist unerlässlich, dass Leute wie Murtuza Jadliwala weiter daran arbeiten, eventuelle Sicherheitsprobleme zu identifizieren.