pdf-Datei ausschließlich zur privaten Nutzung

RuhR-uNiveRsität Bochum

wissenschaftsmagazin_frühjahr 14_4,00 eur

seite 10Wie PRachtbieNeN Duftstoffe sammelN uND eiNsetzeN

22 rubin | frühjahr 14

Abb. 1: Gratis-Apps können zur Kostenfalle werden, wenn Programmierer sich durch sie Zugriff auf das Smartphone verschaffen.

23

RUB-Forscher entwickeln Tools für mehr Sicherheit beim Smartphone-Betrieb

Gratis-apps mit FolGekosten

bung finanziert und den genauen Stand-ort des Nutzers kennt, kann viel Werbung zu deutlich höheren Preisen verkaufen. Sie sagt zum Beispiel: Da vorne ist ein Restau-rant, willst du da nicht hin?“, veranschau-licht Wolf. „Oder eine App erntet einfach das gesamte Adressbuch und verkauft die persönlichen Daten.“

Nicht immer steckt hinter den unnö-tig eingeholten Rechten jedoch kriminel-le Energie. Manche Programmierer ma-chen sich einfach nicht die Mühe, die Stan-dardeinstellungen für die eingeforderten Rechte abzuändern. Welche Intentionen ein App-Entwickler hat, weiß der Nutzer aber nicht. Daher rät Christopher Wolf ge-nerell zur Vorsicht.

Wer den „Permission Watcher“ aus-führt, erhält eine Liste aller installierten Apps nach Gefahrenpotenzial sortiert. Bei den ersten 100 Anwendern des Tools sammelte Wolfs Team Informationen da- rüber, welche Funktionen des „Permission Watcher“ hilfreich waren und welche nicht – natürlich mit dem Einverständnis der Nutzer. Das Fazit: „Wir haben es ein-deutig übertrieben. Wir hatten den Leu-ten die Möglichkeit gegeben, Schritt für Schritt zu verfolgen, wie die App arbeitet.

Das Smartphone nicht nur zum Telefo-nieren und Surfen, sondern auch als Ta-schenlampe nutzen. Das ist leicht gemacht! Einfach eine App installieren, mit der sich die LED des Geräts an- und ausschalten lässt. Was viele Nutzer übersehen: Nicht selten fordern Apps Rechte, die sie für ihre Funktion gar nicht benötigen. So kann die Taschenlampe plötzlich auf das Adress-buch zugreifen und kostenpflichtige SMS verschicken – ein Sicherheitsrisiko und auf Dauer teuer. Die Emmy Noether-Gruppe für Langzeitsicherheit arbeitet an Lösun-gen für solche Gefahren.

Wie bei Desktopcomputern gibt es auch bei Smartphones eine Reihe von Sicher-heitslücken, durch die sich Kriminelle Zugang zu den Geräten verschaffen kön-nen. Dr. Christopher Wolf (Abb. 2), Leiter der Emmy Noether-Gruppe für Langzeit-sicherheit, erforscht die Schwachstellen des Android-Betriebssystems und entwi-ckelt Tools, mit denen Nutzer Sicherheits-risiken ausfindig machen können. Dabei legt sein Team großen Wert darauf, dass die Lösungen leicht zu bedienen sind. „Es hat sich nämlich gezeigt, dass ein Nutzer komplex wirkende Sicherheitsmaßnahmen eher deaktiviert, als sich damit zu beschäf-tigen“, sagt Wolf.

Mit seiner Gruppe entwickelte er den „Permission Watcher“, eine Anwendung, die alle auf einem Smartphone installier-ten Apps auf potenzielle Sicherheitsrisi-ken checkt (Abb. 3). Die IT-Forscher stell-ten rund 20 Regelsätze auf, nach denen sich das Gefahrenpotenzial einer Anwen-dung abschätzen lässt. „Generell proble-matisch ist es etwa, wenn eine App kos-tenpflichtige Dienste aktivieren, zum Bei-spiel 0190er-Nummern anrufen kann“, er-klärt Christopher Wolf. Auch Zugriff auf das Adressbuch oder den genauen Stand-ort benötigen die wenigsten Apps für ihre Funktion. Wozu also diese Rechte? „Eine Taschenlampen-App, die sich über Wer-

Abb. 2: Dr. Christopher Wolf erforscht mit seinem Team Sicherheitsrisiken der Smartphone-Technologie.

24 rubin | frühjahr 14

spieler zu erraten. Gelang ihnen das, be-kamen sie den Nachtisch, und der Vertei-diger ging leer aus.

So motivierten die Wissenschaftler die Verteidiger, sich ein möglichst schwer zu erratendes Muster auszudenken. Und trotzdem: „Der Pattern Login ist etwa so si-cher wie eine dreistellige PIN. Das ist okay, aber nicht so toll“, fasst Wolf zusammen. Viele Muster tauchten häufig auf, vor al-lem solche, die nur am Rande des Drei-mal-drei-Felder-Quadrats verlaufen und zum Beispiel eine L-Form ergeben. Nur wenige Leute nutzten den Mittelpunkt. Ei-nige Felder waren besonders beliebt, zum Beispiel der Startpunkt links oben (Abb. 5).

Die Studie „beschönigte“ die Ergebnis-se sogar noch. Durch das Versuchsdesign waren die Verteidiger motiviert, sich ein möglichst sicheres Muster auszudenken. Eine Umfrage unter 100 Studierenden der Ruhr-Universität ergab, dass die tat-sächlich im Alltag genutzten Login-Mus-ter um ein bis zwei Schritte kürzer sind als jene, die sich die Studienteilnehmer in der Mensa ausdachten.

Wolfs Team testete auch, ob die Sicher-heit steigt, wenn die Felder nicht in dem üblichen Drei-mal-drei-Felder-Quadrat an-geordnet sind, sondern zum Beispiel in Kreisform oder randomisiert (Abb. 5). Nur die Kreisform brachte einen Vorteil. Noch besser wäre es laut dem Bochumer Wis-senschaftler, wenn jeder Nutzer sich die Felder für den Pattern Login so zurecht schieben könnte, wie er möchte. Dann

Abb. 3: Das kostenlose Tool „Permission Watcher“ detektiert Apps, die ein Sicherheitsrisiko darstellen. Inzwi-schen ist es über 10.000-mal im „Google Play Store“ heruntergeladen worden.

so ist es auch. Die Bochumer IT-Forscher sammelten Daten von 584 Android-Nut-zern in der Mensa der Ruhr-Universität. Sie teilten die Teilnehmer in „Angreifer“ und „Verteidiger“ ein. Verteidiger hatten die Aufgabe, sich ein möglichst sicheres Login-Muster auszudenken. Hatten sie ihr Muster gewählt, gingen sie essen. An-schließend konnten sie sich bei den IT-Forschern einen Nachtisch abholen – aber nur, wenn ihr Muster in der Zwischenzeit nicht geknackt wurde. Angreifer hatten fünf Versuche, die Muster ihrer Gegen-

Wie das smartphone seinen nutzer erkenntUm Smartphones zum Beispiel für den Fall eines Diebstahls zu schützen, testete das Team um Christopher Wolf, ob ein Handy seinen Besitzer erkennen kann. Beim Sch-reiben auf dem Smartphone hat jeder Mensch einen leicht anderen Rhythmus, tippt mit unterschiedlichen und unterschiedlich vielen Fingern und hält das Telefon auf eine bestimmte Art und Weise. Kann das Smartphone anhand dieser Eigenschaften erken-nen, ob gerade der übliche Nutzer oder eine fremde Person das Gerät bedient? Die Bo-chumer IT-Forscher bestimmten 1.000 Eigenschaften, anhand derer sich ein Smart-phone-Nutzer beschreiben lässt, zum Beispiel die Tippgeschwindigkeit für bestimmte Buchstabenkombinationen, den Druck aufs Display, den Winkel, in dem er das Gerät hält. Die Sensoren dafür sind in jedem Smartphone bereits enthalten. Das Ergebnis: 80 Prozent der Nutzer lassen sich anhand dieser Eigenschaften eindeutig identifizie-ren. Die restlichen 20 Prozent jedoch nicht. Das reicht nicht, lautete das Fazit der For-scher. Denn wenn man mit der Methode wirklich das Handy vor unerlaubten Zugriffen schützen wolle, müsse die Erkennungsquote nah an 100 Prozent reichen. Sonst wür-de das Prinzip für einen zu großen Teil der potenziellen Nutzer nicht funktionieren und sich daher nicht allgemein durchsetzen.

info

Kein Mensch hat darauf geschaut!“ Statt-dessen interessierten sich die User nur da-für, ob der „Permission Watcher“ nach der Analyse einen traurigen oder fröhlichen Smiley ausgab. Der traurige Smiley beweg-te zehn Prozent der Anwender, potenziell gefährliche Apps zu deinstallieren. „Das ist im Bereich Usability Engineering viel“, weiß Christopher Wolf. „Denn normaler-weise deinstalliert der Nutzer eher das Pro-gramm, das ihm sagt ,Du machst etwas falschʻ, als das zu tun, was das Programm sagt.“ Empfiehlt der Virenscanner etwa, ein potenziell gefährliches Programm zu deinstallieren, schalten viele Nutzer lieber den Virenscanner aus.

Das Smartphone gegen Sicherheitslü-cken in den Apps zu schützen ist aller-dings nur ein wichtiger Aspekt. Nutzer soll-ten auch darauf achten, das Gerät ausrei-chend zu sperren, falls es einmal verloren geht oder gestohlen wird. Die Arbeitsgrup-pe Langzeitsicherheit hat getestet, wie sehr man sich auf den sogenannten Pattern Log- in verlassen kann (Abb. 4). Android-Nutzer können ihr Gerät nicht nur über eine PIN vor ungewollten Zugriffen schützen, son-dern den Bildschirm auch mit einem Mus-ter sperren, das sie auf einem Neun-Felder-Quadrat eingeben.

„Es gab den Verdacht, dass der Pattern Login nicht ganz so sicher ist, wie man sich das wünschen würde“, sagt Wolf. Und

25

Abb. 4: Pattern Login: Statt PIN können Android-Nutzer ihr Handy auch mit einem Muster entsperren.

würden manche ein Quadrat nutzen, an-dere ein Rechteck oder einen Kreis, wieder andere ein randomisiertes Muster. Damit würde die Anzahl möglicher Login-Mus-ter um ein Vielfaches steigen. Aber auch dann bliebe ein Problem, das im Fachjar-gon als „Smudger Tag“ bezeichnet wird. In der Regel kann man auf dem Display die Fingerspuren des Nutzers sehen und somit auf das Login-Muster schließen. Besser wäre es also noch, wenn ein Nut-zer eine Reihenfolge von Symbolen berüh-ren müsste, um sein Handy zu entsper-

ren, etwa blaues Quadrat, rotes Rechteck, grüner Kreis. Die Symbole könnten bei jedem Entsperrversuch an anderen Stel-len auf dem Display erscheinen, sodass die Fingerspuren keine Rückschlüsse auf das Login-Muster zuließen.

Genau wie bei Desktoprechnern lässt sich auch bei Smartphones keine absolu-te Sicherheit gewährleisten. Umso wich-tiger ist es also, dass der Nutzer mitdenkt und kritisch hinterfragt, was auf dem Ge-rät passiert.

jwe

Abb. 5a: Beim herkömmlichen Drei-mal-drei-Felder-Quadrat für den Pattern Login wählen 43 Prozent der Nutzer das Feld oben links als Startpunkt für ihr Login-Muster.

Abb. 5b: Bei einer randomisierten Anordnung kris-tallisiert sich kein so deutlicher Startpunkt heraus. Problem hier: Die Nutzer können sich ihr Muster nicht merken.

Abb. 5c: Bei der Kreisanordnung kann man von je-dem Feld alle anderen Felder direkt erreichen. Die Nutzer wählen viermal so viele verschiedene Login-Muster wie bei anderen Anordnungen.

6% 9%43%

2% 4%6%

4% 8%18%

rubin | frühjahr 14

HerausgeberRektorat der Ruhr-Universität Bochum in Verbindung mit dem Dezernat Hoch-schulkommunikation (Abteilung Wis-senschaftskommunikation) der Ruhr-Universität Bochum

Wissenschaftlicher Beirat Prof. Dr. Astrid Deuber-Mankowsky (Fa-kultät für Philologie), Prof. Dr. Reinhold Glei (Fakultät für Philologie), Prof. Dr. Achim von Keudell (Fakultät für Physik und Astronomie), Prof. Dr. Ulrich Kück (Fakultät für Biologie), Prof. Dr.-Ing. Ulrich Kunze (Fakultät für Elektrotech-nik u. Informationstechnik), Prof. Dr. Alfred Ludwig (Fakultät für Maschi-nenbau), Prof. Dr. Denise Manahan-Vaughan (Medizinische Fakultät), Prof. Dr. Käte Meyer-Drawe (Fakul-tät für Philosophie und Erziehungs-wissenschaft), Prof. Dr. Christian Tapp (Katholisch-Theologische Fakul-tät), Prof. Dr. Klaus T. Überla (Medizi-nische Fakultät), Prof. Dr. Jörg Winter (Prorektor für Forschung)

Redaktion Dr. Julia Weiler, jwe (Redaktionslei-tung); Dr. Maren Volkmann, mv; Tabea Steinhauer, tst; Meike Drießen, md; Dr. Barbara Kruse, bk; Marion Nelle (Bildre-daktion); Andreas Rohden (Webauftritt); Christian Busche (Webauftritt)

Bildnachweis Titelseite: Thomas Eltz; S. 6: Elliot De-Vries und Konrad Meister; S. 7: Andreas Pflitsch; S. 10, Abb. 2: Richard Weldle; S. 11, Abb. 1: Tamara Pokorny; S. 12, Abb. 4: Tamara Pokorny; S. 13, Abb. 5: Tama-ra Pokorny; S. 34, Abb. 1: www.russian-poster.ru; S.35, Abb. 2: Smena 7 (1958) auf Seite 12; S. 36, Abb. 3: Sovetskaja estrada i cirk 11 (1972) auf Seite 8; S. 36, Abb. 4 links: Smena 11 (1965) auf Seite 30; S. 37, Abb. 4 rechts: privat; S. 37, Abb. 5: privat; S. 40, Abb. 3: Kharla-mova – iStock (Icons Personen); S. 42, Abb. 1: Mark Reid/USGS; S. 44, Abb. 3 links: Christiane Bergmann, Rolf Katzen-bach/TU Darmstadt; S. 50, Abb. 4: Bun-desamt für Verfassungsschutz (BfV); S.

53, Abb. 7: picture-alliance/dpa; S. 62: Peter Sondermann

Die Redaktion hat sich um die Einho-lung der nötigen Bildrechte mit allen Mitteln bemüht; wo das nicht möglich war, bitten wir eventuelle Rechteinha-ber, sich mit der Redaktion in Verbin-dung zu setzen.

Anschrift Dezernat Hochschulkommunikation, Abteilung Wissenschaftskommunika-tion, Ruhr-Universität Bochum, 44780 Bochum, Tel. 0234/32-25528, Fax: 0234/32-14136, rubin@rub.de, www.rub.de/rubin

Satz und Layoutdiezwei designagentur, Geismarweg 20, 45259 Essen, info@diezwei-design.de, www.diezwei-design.de

Druck AZ Druck und Datentechnik GmbH, 87437 Kempten

Auflage4.000

Anzeigenverwaltung und -herstellung vmm Wirtschaftsverlag GmbH&Co. KG, Kleine Grottenau 1, 86150 Augsburg, Kathrin Reichherzer, Tel. 0821/4405-432, www.vmm-wirtschaftsverlag.de

Bezug der Zeitschrift RUBIN ist erhältlich im Dezernat Hoch-schulkommunikation (Abteilung Wis-senschaftskommunikation) der Ruhr-Universität Bochum zum Einzel-preis von 4 Euro. Jahresabonnement (zwei Hefte inkl. Porto/Jahr): 7 Euro. Das Wissenschaftsmagazin RUBIN er-scheint zweimal im Jahr, ein Teil der Auflage als Beilage zur Universitäts-zeitschrift RUBENS.

ISSN 0942-6639

Nachdruck bei Quellenangabe und Zu-senden von Belegexemplaren

Impressum

RuHR-univeRSität BocHum

Die Ruhr-Universität Bochum ist eine der führenden Forschungsuniversitäten in Deutschland. Mehr Informationen zu den Forschungsschwerpunkten und Forschungsverbünden finden sich im Internet unter www.rub.de/forschung.