Lauschangriff über Handy-Mikrofon ein Kinderspiel

Wenn es um die Abhörsicherheit moderner Smartphones geht, dürfen sich Handy-Besitzer keine allzu großen Illusionen machen. [...]

Wie aus einem aktuellen Praxistest mit einem Android-Handy durch das Security-Unternehmen Pen Test Partners auf Initiative der BBC hervorgeht, ist es bereits mit Anfänger-Programmierkenntnissen ein Kinderspiel, sich Zugriff auf das in Mobiltelefonen verbaute Mikrofon zu verschaffen. Dadurch lassen sich nicht nur Gespräche belauschen, die direkt über das Gerät geführt werden, sondern auch solche, die in Hörreichweite getätigt werden, wenn das Handy beispielsweise irgendwo in der Nähe abgelegt worden ist.

„Waren Sie schon einmal in der komischen Situation, dass Sie über etwas Bestimmtes geredet haben und Sie dann kurz darauf auf ihrem Handy- oder Computerbildschirm etwas gesehen haben, das genau zum vorher besprochenen Thema gepasst hat“, schreibt Ken Munro, Senior Partner bei Pen Test Partners, auf dem offiziellen Unternehmensblog. Anscheinend seien derartige Fälle keine Seltenheit. „Es existieren genügend anekdotische Beweise, die die Vermutung nahelegen, dass es durchaus möglich ist, dass Nutzer auf diese Weise ausspioniert werden. Wir waren aber überrascht, wie leicht das tatsächlich funktioniert.“

SIMPLE APP PROGRAMMIERT

Der Sicherheitsexperte war anfänglich sogar eher skeptisch: „Ich habe zunächst angenommen, dass das ständige Aktivieren des Mikrofons den Akkuverbrauch in die Höhe treiben würde. Tatsächlich stellte sich das aber als keinerlei Problem dar“, schildert Munro. Dann habe er gemeinsam mit seinem Kollegen Dave Lodge damit begonnen, eine sehr simple App zu programmieren. Dafür seien keinerlei besondere Kenntnisse erforderlich gewesen. „Jeder mit einem Mindestmaß an Wissen über Android- oder iOS-Codierung hätte das auch gekonnt.“

Sobald die App erst einmal auf seinem Handy installiert war, verschaffte sie sich automatisch Zugriff auf das Mikrofon des Geräts. „Wir mussten dann nur noch einen Abhör-Server im Web erstellen und konnten anschließend jedes einzelne Wort mithören, das auch vom Mikrofon erfasst werden konnte – egal, wo sich der Nutzer gerade mit seinem Handy in der Welt befindet“, erklärt Munro. Bei einer Demonstration für „BBC News“ sei es mithilfe einer Voice-to-Text-Software sogar möglich gewesen, die belauschten Gespräche quasi in Echtzeit als genaue Textprotokolle ausspielen zu lassen.

BEWEIS ERBRACHT

„Für uns ist mit diesem Test der endgültige Beweis erbracht, dass es verschiedenen Handy-Apps durchaus möglich ist, die Gespräche von Usern mitzuhören, wenn sie das wollen“, bringt Munro seine Ergebnisse noch einmal auf den Punkt. In einigen Fällen, zum Beispiel für die Zusendung zielgerichteter Werbung, wäre das dem Experten zufolge denkbar.

Bei Konzernen wie Google oder Facebook will man von derartigen Praktiken freilich nichts wissen. „Die Möglichkeit des Mithörens wird nur im Zusammenhang mit der Aktivierung der Sprachsteuerung genutzt“, heißt es etwa vom Suchmaschinenkonzern. Auch bei Facebook wird betont, dass Drittparteien keinerlei Werbeanzeigen auf der Seite schalten dürften, die auf Mikrofondaten basieren. (pte)


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*