Kaspersky warnt vor Spionage und Datenklau: Wenn die Smartwatch heimlich Nutzerprofile erstellt

Wearables können als Spionage-Tool missbraucht werden und heimlich die Daten ihrer Träger sammeln. Daraus lassen sich dann einzigartige Profile der Nutzer erstellen, hat das Sicherheitsunternehmen Kaspersky Lab herausgefunden.

Wearables lassen sich offenbar leicht zur Spionage missbrauchen.
(Foto: Maridav - Fotolia.com)

Smart-Wearables wie Smartwatches oder Fitness-Tracker werden häufig bei sportlichen Aktivitäten verwendet. Hier überwachen sie dann zum Beispiel den Gesundheitszustand oder empfangen Push-Benachrichtigungen. Die smarten Helfer werden daher oft mit Rotationssensoren (Gyroskopen) kombiniert, um die aktuelle Position des Nutzers zu bestimmen und dessen Schritte zählen zu können. Kaspersky Lab warnt nun vor dem allzu sorglosen Umgang mit den Wearables. Die Experten des Sicherheitsunternehmens haben mehrere Smartwatches unterschiedlicher Anbieter untersucht um herauszufinden, welche Nutzerinformationen diese Geräte unbefugten Dritten zur Verfügung stellen könnten. Dafür haben sie eine einfache Applikation für eine Smartwatch entwickelt, die Signale von den integrierten Beschleunigungssensoren und Gyroskopen aufzeichnet. Die im Rahmen der Untersuchung erhobenen Daten wurden dann entweder im Speicher des tragbaren Geräts verwahrt oder auf das Bluetooth-gekoppelte Mobiltelefon hochgeladen.

Mit Hilfe mathematischer Algorithmen, die der Rechenleistung des Smart-Wearables zur Verfügung standen, konnten die Experten Einiges über die Nutzer der Geräte herausfinden. So war beispielsweise erkennbar, wann und wo Nutzer sich bewegten und wie lange sie mit den Wearables arbeiteten. Dabei ließen sich auch sensible Nutzeraktivitäten nachvollziehen. Dazu zählten die Passworteingabe auf dem Computer (mit einer Genauigkeit von bis zu 96 Prozent), die Eingabe eines PIN-Codes am Geldautomaten (87 Prozent) und die Entsperrung des Mobiltelefons (64 Prozent).

Ausspionieren problemlos möglich

Das Kaspersky-Experiment zeigte, dass bei den erhobenen Daten einzigartige Verhaltensmuster für den jeweiligen Nutzer des Gerätes sichtbar gemacht werden können. Unbefugte könnten über eine E-Mail-Adresse, die bei der Registrierung in der App angefordert wurde, oder über den aktivierten Zugriff auf die Anmeldeinformationen des Android-Kontos die dahinterstehende Identität sowie deren Gewohnheiten ermitteln. Cyberkriminelle könnten die empfangenen Signale sogar entschlüsseln und dazu missbrauchen, Opfern auflauern oder Skimmer an ihren bevorzugten Geldautomaten installieren und so deren Bankdaten zu stehlen.

»Smarte Wearables sind nicht nur kleine Gadgets, sondern cyberphysische Systeme, die physikalische Parameter erfassen, speichern und verarbeiten können«, so Sergey Lurye, Sicherheitsexperte bei Kaspersky Lab. Die Untersuchung zeigt Lurye zufolge, dass selbst einfachste Algorithmen, die auf der Smartwatch selbst laufen, einzigartige Nutzerprofile erfassen können. Diese Profile könnten dann verwendet werden, um den Nutzer zu identifizieren und seine Aktivitäten zu verfolgen, einschließlich der Eingabe sensibler Informationen. »Das kann über legitime Apps der Smartwatch geschehen, die heimlich Signaldaten an Dritte senden«, so der Sicherheitsexperte.

Auf Warnsignale achten

Um Missbrauch zu verhindern, sollten Anwender auf bestimmte Warnsignale achten. Erhöhte Aufmerksamkeit empfiehlt sich beispielsweise, wenn die App eine Anfrage zum Abrufen von Nutzerkontoinformationen sendet oder die Berechtigung zum Senden von Geolokalisierungsdaten anfordert. Auch wenn der Akku des smarten Gerätes sich erheblich schneller als üblich entleert, kann das auf einen Missbrauch hindeuten.

Zudem sollten auch Apps für Smart-Wearables ausschließlich aus dem offiziellen App-Store geladen werden. Das Betriebssystem und die Software der Wearables und der damit verbundenen Geräte wie Smartphone sollten zudem regelmäßig aktualisiert werden. Nicht zuletzt empfiehlt sich der Einsatz einer Sicherheitslösung auf allen mit dem Smart-Wearable verbundenen Geräten.