Zur mobilen Ansicht wechseln »

Sicherheitsrisiko Hacker überwachen Smartphones mit Helligkeitssensor.

Der Umgebungslichtsensor bestimmt den Helligkeitswert des Bildschirms und passt diesen an die Umgebung an
Der Umgebungslichtsensor bestimmt den Helligkeitswert des Bildschirms und passt diesen an die Umgebung an - Foto: Gregor Gruber
Nahezu jeder moderne Laptop oder Smartphone sind mit einem Umgebungslichtsensor ausgestattet. Ein neuer Web-Standard will diesen nun öffnen - und wird zum Sicherheitsrisiko.

Umgebungslichtsensoren können von Hackern missbraucht werden, um Smartphone- und Laptop-Nutzer auszuspionieren. Davor warnt Sicherheitsforscher Lukasz Olejnik in seinem Blog. Olejnik zufolge kann der Bildschirminhalt über die relativ präzisen Helligkeitsdaten teilweise ausgelesen werden. So können QR-Codes, die oftmals auch zur Absicherung von Online-Konten zum Einsatz kommen, oder kurze Textpassagen ausgelesen werden. Auch der Browserverlauf lässt sich indirekt nachverfolgen, da bereits angeklickte Links meist in einer anderen Farbe angezeigt werden und die Sensoren zwischen diesen unterscheiden können.

Derartige Umgebungslichtsensoren finden sich in nahezu jedem modernen Smartphone, Tablet oder Laptop. Diese passen die Helligkeit des Bildschirmes an die Umgebung an, sodass der Bildschirm stets gut lesbar bleibt. Die von Olejnik beschriebene Methode funktioniert in allen modernen Browsern und wurde in Firefox und Chrome bzw. unter Android und macOS getestet.

Neuer Standard könnte Zugriff erlauben

Anlass der Warnung ist eine Diskussion innerhalb des W3C (World Wide Web Consortium), der für Web-Standards zuständigen Organisation. Diese debattiert derzeit darüber, ob Websites auch ohne Genehmigung des Nutzers Zugriff auf den Umgebungslichtsensor gewährt werden soll. Damit will man vor allem Entwicklern von App-ähnlichen Websites unter die Arme greifen, öffnet aber auch Angreifern Tür und Tor.

Einzige Einschränkung: Der Angriff erfordert viel Zeit. Für das Auslesen von acht Zeichen sind 2 Sekunden erforderlich, ein 20 mal 20 Pixel großer QR-Code benötigt drei Minuten und 20 Sekunden. Um die 1000 meistbesuchten Seiten im Browserverlauf auslesen zu können, dauert es gar acht Minuten und 20 Sekunden. Während des Angriffs muss zudem das Browserfenster stets auf dem Bildschirm sichtbar geöffnet bleiben.

Immer wieder Missbrauch von Standards

Obwohl durch diese Umstände die Wahrscheinlichkeit für einen erfolgreichen Angriff gering ist, fordert Olejnik dennoch Sicherheitsmaßnahmen. Da die meisten Apps nicht derart präzise Daten benötigen, könnte die Genauigkeit der Sensordaten für Websites reduziert und diese in einem längeren Intervall erhoben werden. Ähnliche Beispiele für offene APIs, die missbraucht wurden, häuften sich zuletzt. So soll Uber einen Standard, der das Auslesen der Akkuladung ermöglichte, missbraucht haben, um seinen Kunden bei niedrigem Akkustand höhere Fahrpreise zu verrechnen. 

(futurezone) Erstellt am 20.04.2017, 11:17

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!