Schmierfinger verraten Passwörter

Mithilfe einfacher Fotografien der Touchscreens konnten Wissenschaftler der University of Pennsylvania die Bewegungsabfolge der Finger nachvollziehen, mit denen die richtige Zahlenkombination für die PIN-Nummern eingegeben worden ist.
Bei 96 Prozent der Fälle konnten grosse Fragmente der Passwortkombinationen wiederhergestellt werden, bei weiteren 68 Prozent das komplette Passwort. Die Wissenschaftler fotografierten im Experiment die Touchscreens zweier HTC-Android-Handys (G1 und Nexus1) aus verschiedenen Perspektiven und analysierten die Bilder daraufhin mit üblicher Fotobearbeitungs-Software. Die Untersuchung dieser Bilder ergab, dass die natürlichen Fettrückstände der Haut Rückschlüsse über die eingegebenen Daten erlauben.

«Es ist erstaunlich schwierig, die Fettrückstände auf den Touchscreens zu verwischen oder unkenntlich zu machen», so die Wissenschaftler in ihrer Analyse. Aus diesem Grund sei ein sogenannter «Smudge Attack» («Schmierfleck-Angriff») auch als Gefahr für die Sicherheit der Handy-Daten anzusehen. Einfallsreiche Angreifer könnten mithilfe dieser einfachen Technik neben Handy-Passwörtern auch andere Informationen stehlen, die über Touchscreens weitergegeben werden. Die Wissenschaftler sprechen hierbei beispielsweise von Geldautomaten, E-Voting-Geräten und den in den USA üblichen Bildschirmen bei Supermarktkassen.

Die im Experiment verwendeten HTC-Handys sind mit dem Android-Betriebssystem ausgestattet. Um das Telefon freizuschalten, müssen die Nutzer aus einem 3 x 3 Zahlen umfassenden Keypad ihr Passwort festlegen. Aufgrund mehrerer Restriktionen gibt es insgesamt nur 389'112 mögliche Zahlenkombinationen, weshalb die Wissenschaftler dieses System als besonders gefährdet ansehen.