Ausgefallene TKÜ-Methode für Smartphones

In einer neuen Studie untersuchen Sicherheitsexperten das Abhören von Telefongesprächen über einen in fast jedem Smartphone vorhandenen Bug. Wie gefährlich ist das?

Ende Dezember 2022 veröffentlichte ein Team von Wissenschaftlern mehrerer US-Universitäten ein Paper über das Thema Telekommunikationsüberwachung (Wiretapping). Die im Rahmen dieser Studie erforschte Abhörmethode ist relativ ungewöhnlich: Gespräche, die über den Lautsprecher Ihres Smartphones stattfinden, können von einem eingebauten Sensor, dem sogenannten Beschleunigungssensor, abgefangen werden. Auf den ersten Blick scheint dieser Ansatz keinen Sinn zu ergeben: Warum nicht einfach das Audiosignal selbst oder die Daten abfangen? Tatsache ist, dass moderne Smartphone-Betriebssysteme Telefongespräche hervorragend schützen und die meisten Apps keine Berechtigungen haben, den Ton während eines Gesprächs aufzuzeichnen. Der Beschleunigungssensor ist jedoch frei zugänglich, was neue Überwachungsmethoden eröffnet. Dabei handelt es sich um eine Art von Seitenkanalangriff, der bisher zum Glück nur in der Theorie existiert. Doch im Laufe der Zeit könnten solche Forschungsarbeiten dazu führen, dass nicht standardisierte Abhörmaßnahmen Realität werden.

Features eines Beschleunigungssensors

Ein Beschleunigungssensor dient, wie sein Name bereits sagt, zur Messung der Beschleunigung; zusammen mit einem weiteren Sensor, dem Gyroskop, kann er Positionsänderungen des Smartphones, auf dem sich der Sensor befindet, erkennen. Beschleunigungsmesser sind seit mehr als einem Jahrzehnt in allen Smartphones integriert. Sie sorgen beispielsweise dafür, dass sich das Bild auf dem Bildschirm dreht, wenn man die Handyposition ändert. Manchmal werden sie auch in Spielen oder z. B. in AR-Apps eingesetzt, wenn das Bild der Handykamera mit virtuellen Elementen überlagert wird. Schrittzähler funktionieren, indem sie die Vibrationen des Telefons beim Gehen erfassen. Und wenn Sie Ihr Smartphone umdrehen, um einen eingehenden Anruf stumm zu schalten, oder auf den Bildschirm tippen, um das Gerät zu aktivieren, wird all das vom Beschleunigungssensor erfasst.

Doch wie kann dieser standardmäßige, aber „unsichtbare“ Sensor Ihre Gespräche belauschen? Sobald die Person am anderen Ende der Leitung anfängt zu sprechen, wird ihre Stimme über den eingebauten Lautsprecher wiedergegeben, wodurch dieser und das Smartphone-Gehäuse in Schwingung versetzt werden. Der Beschleunigungssensor ist mittlerweile empfindlich genug, diese Vibrationen zu erkennen. Obwohl die Forscher bereits seit einiger Zeit davon wussten, machte die geringe Stärke der Vibrationen ein komplettes Abhören bislang unmöglich. Doch in den letzten Jahren hat sich diese Situation eher ins Negative entwickelt: Smartphones verfügen heute über leistungsfähigere Lautsprecher, um – unter anderem – die Lautstärke und Tonqualität bei der Visualisierung von Videos zu verbessern. Ein für den Nutzer positiver Nebeneffekt ist die daraus resultierende bessere Klangqualität beim Telefonieren. Das US-Wissenschaftlerteam stellt diese Tatsache in seinem Paper deutlich dar:

Daten von Smartphone-Beschleunigungssensoren während der Sprachwiedergabe

Spektrogramm, das beim sechsmaligen Abspielen des Wortes „Zero“ erzeugt wurde:
(a) – aus Beschleunigungsmesserdaten des Oneplus 3T Ohr-Lautsprechers (älteres Modell, keine Stereolautsprecher);
(b) – aus Beschleunigungsmesserdaten des Oneplus 7T Ohr-Lautsprechers (neueres Modell, mit Stereolautsprechern);
(c) – aus Beschleunigungsmesserdaten des Oneplus 7T-Lautsprechers (neueres Modell, mit Stereolautsprechern).

 

Die linke Abbildung gehört zu einem relativ alten Smartphone aus dem Jahr 2016, das nicht mit leistungsstarken Stereolautsprechern ausgestattet ist. Mittig und rechts ist das Spektrogramm eines Beschleunigungssensors eines moderneren Geräts zu sehen. In jedem Fall wird das Wort „Zero“ 6 Mal über den Lautsprecher abgespielt. Beim alten Smartphone spiegelt sich der Ton kaum in den Beschleunigungsdaten wider; die neueren Modelle zeichnen ein deutlicheres Muster ab, das in etwa den abgespielten Wörtern entspricht. Das beste Ergebnis zeigt sich in der Grafik rechts, mit dem Gerät im Lautsprechermodus. Doch auch während eines normalen Gesprächs, bei dem das Telefon an das Ohr gehalten wird, gibt es genügend Daten, die analysiert werden können. Fakt ist, dass der Beschleunigungsmesser als Mikrofon fungiert!

Halten wir an dieser Stelle einen Moment inne, um die Schwierigkeit der Aufgabe, die sich die Forscher selbst aufgetragen haben, zu bewerten. Der Beschleunigungssensor kann als Mikrofon fungieren, allerdings nur in sehr abgeschwächter Form. Angenommen, wir bringen den Benutzer dazu, Malware zu installieren, die versucht, Telefongespräche abzuhören, oder wir bauen ein Abhörmodul in ein beliebtes Spiel ein. Wie bereits zu Beginn erwähnt, hätte unser Programm keine Berechtigung, Gespräche direkt aufzunehmen, könnte aber den Zustand des Beschleunigungsmessers überwachen. Die Anzahl der Anfragen, die an den Sensor geschickt wird, ist begrenzt und vom jeweiligen Smartphone- und Sensor-Modell abhängig. So erlaubt ein in der Studie analysiertes Gerät beispielsweise 420 Anfragen pro Sekunde (gemessen in Hertz [Hz]), ein anderes hingegen 520 Hz. Mit Version 12 führte Android eine Anfragen-Obergrenze von 200 Hz ein. Diese so genannte Abtastrate begrenzt den Frequenzbereich der daraus resultierenden „Tonaufnahme“ und beträgt die Hälfte der Abtastrate, mit der wir Daten vom Sensor erhalten können. Das bedeutet, dass die Forscher bestenfalls Zugriff auf den Frequenzbereich von 1 bis 260 Hz hatten.

Der Frequenzbereich der Sprachausgabe liegt zwischen 300 und 3400 Hz, doch was der Beschleunigungssensor „abhört“ ist keine Stimme: Versucht man die „Aufnahme“ abzuspielen, erhält man ein murmelndes Geräusch, das dem ursprünglichen Ton nur ansatzweise gleicht. Die Forscher nutzten maschinelle Lernmethoden, um diese Tonspuren zu analysieren. Dazu entwickelten sie ein Programm, das bekannte Tonmuster der menschlichen Stimme heranzog und sie mit den Daten, die sie vom Beschleunigungsmesser erhielten, verglich. Durch ein solches Training kann eine Sprachaufnahme unbekannten Inhalts mit einer gewissen Fehlertoleranz entschlüsselt werden.

Spionage

Forscher, die diverse Methoden zur Telekommunikationsüberwachung untersuchen, kommt all das bekannt vor. Die Autoren des neuen Papers stützen sich auf eine Reihe von Vorgängern, die bereits gezeigt haben, wie man mit den scheinbar unwahrscheinlichsten Objekten an Sprachdaten gelangen kann. Hier ein reales Beispiel für eine Spionagetechnik: Von einem nahe gelegenen Gebäude aus richten Angreifer einen unsichtbaren Laserstrahl auf das Fenster des Raums, in dem das Gespräch stattfindet, das sie abhören möchten. Die Schallwellen der Stimmen versetzen die Fensterscheibe in leichte Schwingungen, die sich im reflektierten Laserstrahl nachweisen lassen. Und diese Daten reichen aus, um den Inhalt eines privaten Gesprächs wiederherzustellen. Bereits im Jahr 2020 zeigten Wissenschaftler aus Israel, wie sich Sprache aus den Schwingungen einer gewöhnlichen Glühbirne rekonstruieren lässt. Schallwellen verursachen kleine Veränderungen in der Helligkeit der Glühbirne, die in einer Entfernung von bis zu 25 Metern erkannt werden können. Das Abhören mittels Beschleunigungsmesser ist diesen Spionagetricks sehr ähnlich, allerdings mit einem wichtigen Unterschied: Die „Wanze“, die genutzt wird, ist bereits im Gerät, das abgehört werden soll, integriert.

Aber bis zu welchem Ausmaß kann der Inhalt eines Gesprächs über die Daten eines Beschleunigungsmessers wiederhergestellt werden? Obwohl die neue Studie die Qualität der Telekommunikationsüberwachung deutlich verbessert, kann die Methode dennoch nicht als zuverlässig bezeichnet werden. In 92 % der Fälle konnten anhand der Beschleunigungssensordaten zwei Stimmen voneinander unterschieden werden. In 99 % der Fälle war es möglich, das Geschlecht korrekt zu bestimmen. Das tatsächliche Gespräch wurde jedoch nur mit einer Genauigkeit von 56 % erkannt – die Hälfte der Wörter konnte nicht rekonstruiert werden. Und der Datensatz, der für den Test verwendet wurde, war äußerst begrenzt und auf lediglich drei Personen beschränkt, die mehrmals hintereinander ein und dieselbe Zahl wiederholten.

Das Paper behandelte jedoch nicht die Möglichkeit, das Gespräch beider Smartphone-Nutzers zu analysieren. Hört man nur den Ton des Lautsprechers, erhält man im besten Fall die Hälfte des Gesprächs. Presst man das Handy hingegen ans Ohr, sollte der Beschleunigungsmesser die Vibrationen des gesamten Gesprächs wahrnehmen können, obwohl die Qualität hier sicher deutlich schlechter ist als bei der ausschließlichen Analyse der Vibrationen des Lautsprechers. Dies muss in neuen Forschungsarbeiten noch genauer untersucht werden.

Die Zukunft ist unklar

Glücklicherweise wollten die Wissenschaftler kein brauchbares Abhörgerät für das Hier und Jetzt entwickeln, sondern lediglich neue Methoden zum Eingriff in die Privatsphäre testen, die eines Tages relevant sein könnten. Solche Studien ermöglichen es Geräteherstellern und Softwareentwicklern, proaktiv einen Schutz gegen theoretische Bedrohungen zu entwickeln. Die in Android 12 eingeführte Begrenzung der Abtastrate auf 200 Hz ist übrigens nicht wirklich hilfreich: Die Erkennungsgenauigkeit in realen Experimenten ist zwar gesunken, aber nicht bedeutend. Weitaus größere Störungen während eines Gesprächs kommen vom Smartphone-Nutzer selbst: seine Stimme, Handbewegungen, Auf- und Ablaufen etc. Die Forscher waren nicht in der Lage, diese Vibrationen zuverlässig aus dem Nutzsignal herauszufiltern.

Der wichtigste Aspekt der Studie war der Einsatz des integrierten Smartphone-Sensors: alle vorherigen Methoden basierten auf diversen Zusatz-Tools; im hier dargestellten Fall wird das Spionagetool jedoch standardmäßig mitgeliefert. Neben den bescheidenen Ergebnissen in der Praxis, zeigt die Studie dennoch, wie ein so komplexes Gerät wie ein Smartphone voller möglicher Datenlecks steckt. In diesem Zusammenhang haben wir kürzlich davon berichtet, wie Signale von WLAN-Modulen in Telefonen, Computern und anderen Geräten unwissentlich ihren Standort verraten, wie Staubsaugerroboter ihre Besitzer ausspionieren und wie IP-Kameras dort spionieren, wo sie es nicht sollten.

Und obwohl derartige Überwachungsmethoden den Durchschnittsnutzer vermutlich nicht gefährden, wäre es schön, wenn die Technologie der Zukunft dennoch gegen alle Risiken der Spionage, des Abhörens und heimlichen Ausspähens gewappnet wäre. Da in solchen Fällen jedoch Malware auf den Geräten des Nutzers installiert werden muss, sollte immer die Möglichkeit bestehen, diese mit einer entsprechenden Sicherheitslösung aufzuspüren und zu blockieren.

Tipps