Allein das Geräusch und der Rhythmus liefern genug Daten, um die Tasteneingaben einordnen zu können.
IMAGO/Andrew Brookes

Der Cafébesuch mit Laptop ist IT-sicherheitstechnisch noch gefährlicher geworden, als er es ohnehin schon war. Nicht nur ungesicherte Netzwerke bedrohen den portablen Computer, auch das simple Eintippen eines Passworts in Hörweite könnte das Aus der digitalen Privatsphäre bedeuten.

Eine Studie von zwei Forschern an einer amerikanischen Universität hat eine neue Art von einer sogenannten Seitenkanalattacke vorgestellt. Bei solchen Attacken wird nicht das kryptografische Verfahren selbst, sondern die physische Verwirklichung des Verfahrens angegriffen. In diesem Fall handelt es sich um die manuelle Eingabe des Passworts, die analysiert wird, und nicht die zugrundeliegende Software.

Die Erfolgsrate erscheint mit circa 43 Prozent auf den ersten Blick niedriger als bei ähnlichen Projekten, britische Wissenschafter konnten etwa eine 95-prozentige Erfolgsrate in einem ähnlichen Projekt aufweisen. Dennoch kann sich das Programm in realistischeren Lautstärkeumgebungen gegen seine Mitstreiter behaupten.

Attraktiv für Cyberkriminelle

Die Autoren der Studie machen sich keine Illusionen über den Anwendungsbereich ihrer Forschungsergebnisse. Alireza Taheritajar und Reza Rahaeimehr, Forscher der Augusta University im amerikanischen Bundestaat Georgia, schreiben schon in der Einleitung der Studie über die möglichen Gefahren dieser Technologie. Dass man durch diese Methode ohne Verbindung zum eigentlichen System angegriffen werden kann, sei höchst problematisch, wird erklärt. "Angreifer können die Tonwellenformen der Tastenanschläge analysieren, um das Timing, die Intensität und die Häufigkeit der Tastenanschläge zu ermitteln – und gelangen so an sensible Informationen", schreiben die Forscher.

In diesem Programm wurden die Datensätze erstellt.
Screenshot Arxiv.org

Anders als zuvor vorgestellte Modelle konzentriert sich das Programm auf den Rhythmus und die Muster, mit denen die Tastatureingaben getätigt werden. Zur Erstellung des Datensatzes verwendeten die Forscher eine mit C# programmierte Windows-App. Diese App nimmt zuerst über das Laptopmikrofon wenige Sekunden Stille auf, um diverse Hintergrundgeräusche herauszufiltern. Dann wird der Nutzer aufgefordert, einen Text oder eine E-Mail zu verfassen. Nach Verfassen dieses Textes werden noch bestimmte Sätze und Wörter abgefragt. Danach ist der Prozess bereits abgeschlossen.

Jetzt können neue Audioaufnahmen in das System eingespeist werden, die sofort auf mögliche Tastenanschläge überprüft werden. Eine statistische Analyse verteilt dann mit einer Abweichung von lediglich fünf Prozent mögliche Buchstaben für die Tastenanschläge. Die Abweichung erklärt sich dadurch, dass dieselbe Person das gleiche Wort bei Wiederholung mit kleinen Abweichungen schreibt.

Verteidigungsstrategien

Da die beiden Verantwortlichen nicht an den unmoralischen Verwendungsbereichen ihrer Technologie beteiligt sein wollen, kommunizieren sie auch Strategien zum Schutz gegen diese Angriffstaktik. Je lauter und unterschiedlicher in die Tasten gehämmert wird, desto einfacher ist es, den Datensatz für das Training anzulegen. Tastaturen mit Membranen oder mechanische Keyboards mit Dämpfern erschweren die Zuordnung der Geräusche. Gerade wenn ein einzelner Tastendruck nicht für das Mikro zu hören ist, fällt das System auseinander. Dennoch zeigt die Studie, dass in Sachen Sicherheit künftig auf noch mehr Faktoren geachtet werden muss, als das in der Vergangenheit bereits der Fall war. (gld, 18.3.2024)