Hacker überwachen Smartphones mit Helligkeitssensor
Umgebungslichtsensoren können von Hackern missbraucht werden, um Smartphone- und Laptop-Nutzer auszuspionieren. Davor warnt Sicherheitsforscher Lukasz Olejnik in seinem Blog. Olejnik zufolge kann der Bildschirminhalt über die relativ präzisen Helligkeitsdaten teilweise ausgelesen werden. So können QR-Codes, die oftmals auch zur Absicherung von Online-Konten zum Einsatz kommen, oder kurze Textpassagen ausgelesen werden. Auch der Browserverlauf lässt sich indirekt nachverfolgen, da bereits angeklickte Links meist in einer anderen Farbe angezeigt werden und die Sensoren zwischen diesen unterscheiden können.
Derartige Umgebungslichtsensoren finden sich in nahezu jedem modernen Smartphone, Tablet oder Laptop. Diese passen die Helligkeit des Bildschirmes an die Umgebung an, sodass der Bildschirm stets gut lesbar bleibt. Die von Olejnik beschriebene Methode funktioniert in allen modernen Browsern und wurde in Firefox und Chrome bzw. unter Android und macOS getestet.
Neuer Standard könnte Zugriff erlauben
Anlass der Warnung ist eine Diskussion innerhalb des W3C (World Wide Web Consortium), der für Web-Standards zuständigen Organisation. Diese debattiert derzeit darüber, ob Websites auch ohne Genehmigung des Nutzers Zugriff auf den Umgebungslichtsensor gewährt werden soll. Damit will man vor allem Entwicklern von App-ähnlichen Websites unter die Arme greifen, öffnet aber auch Angreifern Tür und Tor.
Einzige Einschränkung: Der Angriff erfordert viel Zeit. Für das Auslesen von acht Zeichen sind 2 Sekunden erforderlich, ein 20 mal 20 Pixel großer QR-Code benötigt drei Minuten und 20 Sekunden. Um die 1000 meistbesuchten Seiten im Browserverlauf auslesen zu können, dauert es gar acht Minuten und 20 Sekunden. Während des Angriffs muss zudem das Browserfenster stets auf dem Bildschirm sichtbar geöffnet bleiben.
Immer wieder Missbrauch von Standards
Obwohl durch diese Umstände die Wahrscheinlichkeit für einen erfolgreichen Angriff gering ist, fordert Olejnik dennoch Sicherheitsmaßnahmen. Da die meisten Apps nicht derart präzise Daten benötigen, könnte die Genauigkeit der Sensordaten für Websites reduziert und diese in einem längeren Intervall erhoben werden. Ähnliche Beispiele für offene APIs, die missbraucht wurden, häuften sich zuletzt. So soll Uber einen Standard, der das Auslesen der Akkuladung ermöglichte, missbraucht haben, um seinen Kunden bei niedrigem Akkustand höhere Fahrpreise zu verrechnen.