Am Geldautomaten ist bei den meisten die Unbefangenheit längst weg. Könnte hier vielleicht doch jemand meine Geheimzahl erspähen, via Kamera vielleicht, fragt man sich manchmal – zumal abenteuerliche Betrügertricks längst die Runde machten. Ganz ähnliche Sorgen müssen sich Smartphone-Nutzer machen, denn Fettflecken auf dem Touchscreen geben Anhaltspunkte auf PIN-Codes und andere Geheimdaten.
Wissenschaftler der University of Pennsylvania fanden diese Annahme jedenfalls in mehreren Experimenten bestätigt. Zum Teil sind die Rückstände auf dem Bildschirm unvermeidlich und geben Betrügern unter Umständen Aufschluss darüber, welche Zahlenkombinationen besonders häufig gewählt eingetippt werden.
"Wir halten Schmierfleckattacken aus drei Gründen für eine echte Bedrohung", schreiben die Autoren der Studie.
-
Erstens halten sich die Flecken erstaunlich lange.
-
Zweitens sei es überraschend schwierig, sie zu entfernen. Wer mit dem Ärmel oder einem Tuch darüber wischt, macht keineswegs alles unkenntlich.
-
Drittens könne das Sammeln und Analysieren von fettigen Spuren mit handelsüblichen Geräten wie Kameras und Rechnern durchaus gelingen.
Die Computerspezialisten experimentieren selbst, in dem sie aus verschiedenen Perspektiven die Touchscreens zweier HTC-Android-Handys fotografierten und die Entschlüsselung versuchten. Dabei ging es um die Enträtselung von Eingabesystemen, die das Prinzip Geldautomat simulieren. Auf dem Smartphone wird ein aus neun Zahlen bestehendes Keypad angezeigt, über das die Nutzer ihren Eingabecode wählen.
Die Wissenschaftler veränderten Lichtquellen und den Einfallswinkel des Lichts ebenso wie die Kameraperspektiven, um verschiedene alltägliche Situationen nachzustellen. „Unsere Ergebnisse sind extrem ermunternd“, fassen sie zusammen. Ermunternd allerdings für Betrüger, diese Masche einfach mal auszuprobieren.
92-prozentige Chance für Datendiebe
Bei einem Experiment war in 92 Prozent der Fälle das Eingabemuster zumindest in Teilen zu rekonstruieren, in 68 Prozent sogar vollständig. Diesem aus Sicht der Datendiebe besten Fall steht der schlechteste gegenüber, der das teilweise Ausspähen zu 37 Prozent und das vollständige zu 14 Prozent ermöglichte – immer noch ein Anreiz für Kriminelle, das doch ruhig mal zu auszuprobieren.
Die unvollständige Rekonstruktion ist dann eine Einladung zum Klau, wenn bei 20 Eingabeversuchen ein korrekter Versuch wahrscheinlich ist. Und genau das ist offenbar in allzu vielen Fällen möglich.
Die Forscher warnen, dass nach der gleichen Methode auch größere Gerätesysteme wie eben Geldautomaten, elektronische Wahlurnen oder bildschirmgesteuerte Supermarktkassen ausspioniert werden könnten. In künftigen Studien soll dies ebenso ausgelotet werden wie weitere Anfälligkeiten bei Smartphones. Die Wissenschaftler gehen davon, dass die Schmierflecken nicht das einzige Einfallstor für Kriminelle darstellen.
Die Studie kann auf der Website der University of Pennsylvania herunter geladen werden.