Ruhr-Universität Bochum will Smartphone-User schützen

ForschungInnovationMobileSicherheitSicherheitsmanagementSmartphone
Permission-Watcher-App

Die Android-Warn-App Permisssion Watcher steht bereits in Google Play bereit. Sie informiert Nutzer über Apps mit kritischen Berechtigungen. Außerdem führt die Ruhr-Universität Bochum eine Untersuchung zur mangelnden Sicherheit von Smartphone-Pattern-Logins durch.

Dr. Christopher Wolf von der Ruhr-Universität Bochum (RUB) hat mit Hilfe seiner Studenten zwei Bedrohungs-Szenarien für Smartphone-Besitzer entdeckt. So können Gratis-Apps unvermittelt teuer werden, wenn der Nutzer nicht ausreichend verhindert, dass sich Apps Rechte holen, die für ihre Anwendung nicht nötig sind. Und der vermeintliche Schutz vor Dieben durch eingespeicherte Bedienungsmuster ist ein zweiter Punkt, der der Emmy-Noether-Gruppe für Langzeitsicherheit an der RUB Sorgen bereitet

Permission Watcher
Der Permission Watcher testet Android-Apps auf ihre Rechte-Nutzung. (Bild: Ruhr-Univerität Bochum)

Für den ersten Punkt hat die Studentengruppe bereits eine App erstellt. Der Permission Watcher warnt, wenn Apps sich zu viele Rechte erbitten, die für ihre Anwendung oft gar nicht nötig sind. Die Emmy-Noether-Gruppe für Langzeitsicherheit an der RUB ermittelte zudem: Der Schutz vor Fehl-Logins durch die Muster-Erkennung ist gerade mal so sicher wie eine dreistellige PIN-Nummer.

Beides “kann auf Dauer teuer werden”, warnt Dr. Christopher Wolf vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB). Vor zu vielen Rechtefreigaben warnt die Permission-Watcher-App. Allerdings kann sie die Berechtigungen der Apps nicht einschränken. Hierfür ist XPrivacy Installer geeignet. Allerdings muss hierfür das Gerät gerootete werden und das Xposed Framwework installiert sein.

 

Das zweite potenzielle Sicherheitsrisiko ist das Pattern-Login bei Android. Es ist laut Wolf “okay, aber nicht so toll”.

Pattern-Erkennung in Android
Nicht sicher: Die Mustererkennung in Android. (Bild: Ruhr-Universität Bochum)

Android-Nutzer können dabei ihr Smartphone mit einem Muster sperren, das sie auf einem Drei-mal-drei-Felder-Quadrat einzeichnen. Allerdings bietet sie nicht mehr Sicherheit als eine dreistellige PIN. Und: In der Regel kann man auf dem Display die Fingerspuren des Nutzers sehen und somit auf das Login-Muster schließen.

Das Forschungs-Team um die Smartphone-Sicherheit legte daraufhin 1000 Eigenschaften fest, anhand derer sich ein Smartphone-Nutzer beschreiben lässt.

Da sind zum Beispiel die Tippgeschwindigkeit für bestimmte Buchstabenkombinationen, der Druck aufs Display, der Winkel, in dem der Anwender das Gerät hält, und so weiter. Die Sensoren dafür sind in jedem Smartphone bereits enthalten.

80 Prozent der Nutzer lassen sich anhand dieser Eigenschaften sogar eindeutig identifizieren. “Die restlichen 20 Prozent jedoch nicht”, schließen die Forscher. Doch wenn man mit der Methode wirklich das Handy vor unerlaubten Zugriffen schützen wolle, müsse die Erkennungsquote nahezu 100 Prozent erreichen. Wichtig sei vor allem, “dass der Nutzer mitdenkt und kritisch hinterfragt, was auf dem Gerät passiert”.

Tipp: Wie sicher sind Sie bei der Sicherheit? Prüfen Sie Ihr Wissen mit 15 Fragen auf silicon.de!

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen