Angriffe per Wärmebildtechnik

Können PIN-Nummern und Passwörter per Wärmebildkamera gestohlen werden? Diese Studie zeigt es.

Mindestens zwei unserer vorherigen Beiträge befassten sich mit Seitenkanalangriffen, bei denen bestimmte vertrauliche Informationen (Passwörter, Kryptoschlüssel oder einfach Daten, die geschützt werden müssen) auf bestimmte, nicht triviale Weise extrahiert werden. Anstatt ein Verschlüsselungssystem direkt zu knacken, kann ein Angreifer beispielsweise den Schlüssel auf der Grundlage auch nur geringfügiger Änderungen des Stromverbrauchs des Geräts rekonstruieren. Anstelle der Extraktion geheimer Daten aus dem Prozessor-Cache, können diese basierend auf indirekten Anzeichen wiederhergestellt werden: Eine komplexe Kette erfolgloser Versuche, auf die jeweiligen Daten zuzugreifen, läuft einen Bruchteil langsamer oder schneller, was auf das Vorhandensein einer Null oder einer Eins in dem betreffenden Datenabschnitt schließen lässt.

Hierbei handelt es sich um ein sehr komplexes Beispiel eines Seitenkanalangriff. Es gibt aber auch simplere Varianten, über die wir heute sprechen möchten.

Wie sieht der einfachste „Angriff“ aus, den es auf ein Computersystem geben kann? Die Antwort? Shoulder Surfing! Bei dieser Methode stehlen Diebe Ihr Passwort, indem sie Ihnen ganz einfach über die Schulter schauen. Danach geben sie das abgeschaute Kennwort ein und verschaffen sich Zugang zu Ihren Daten, ohne die Notwendigkeit, einen Computer oder eine Software zu hacken. Sich gegen Shoulder Surfing zu schützen, ist genauso simpel wie die Masche selbst; und zwar indem Sie die Tasten mit der Hand verdecken oder sicherstellen, dass sich bei der Anmeldung niemand hinter Ihnen befindet. Was aber, wenn ein Angreifer Ihr Passwort oder Ihre PIN-Nummer nach der Eingabe stehlen könnte, indem er die thermischen Fingerabdrücke auf der Tastatur abliest?

 

Wärmebildtechnik & Geldautomaten

Angriffe per Wärmebildkamera befinden sich seit mehr als 15 Jahren auf dem Radar der Forscher. Eine der ersten Studien in diesem Bereich befasst sich mit dem häufigsten realen Szenario: Angriffe auf Geldautomaten. Diese funktionieren bei gewöhnlichen Geldautomaten folgendermaßen:

Typisches Eingabefeld eines Geldautomaten. Quelle.

 

Sie gehen zu einem Geldautomaten, stecken Ihre Karte ein, geben Ihre PIN ein, entnehmen Ihr Geld und gehen wieder. Doch nur wenige Augenblicke später schleicht sich ein Angreifer an denselben Geldautomaten und erstellt mit einer Wärmebildkamera ein Foto der Tastatur:

Mit einer Wärmebildkamera erstelltes Bild der Tastatur eines Geldautomaten. Quelle.

 

Erfolgt das Bild innerhalb von 30 Sekunden nach Eingabe der PIN, besteht eine 50-prozentige Chance, die Sequenz wiederherstellen zu können. Die Thermovisionskamera erstellt ein Infrarotbild, in dem helle und dunkle Bereiche hohe bzw. niedrige Temperaturen darstellen. Der ursprüngliche Zweck einer Wärmebildkamera ist unter anderem die Überprüfung der Wände oder Fenster eines Gebäudes, um festzustellen, woher im Winter der lästige Luftzug stammt. Doch offenbar kann sie auch zum Diebstahl von PIN-Nummern eingesetzt werden – wobei man bedenken sollte, dass es sich hierbei bislang um reine Forschung und (noch) nicht um einen realen Angriff handelt.

Die ersten Wärmebildkameras kosteten Zehntausende von US-Dollar, während sie preislich mittlerweile im Bereich weniger hundert Dollar liegen. Heute können sie darüber hinaus in Bezug auf ihre Empfindlichkeit (Fähigkeit, kleine Temperaturunterschiede zu erkennen) variieren. Das obige Foto (aufgenommen mit einem teuren Profigerät) zeigt beispielsweise nicht nur, welche Tasten gedrückt wurden, sondern auch in welcher Reihenfolge: Je wärmer die Taste, desto später wurde sie gedrückt.

Der Einsatz einer Thermovisionskamera bei Geldautomaten ist jedoch nicht ganz einfach, denn das Bild muss so schnell wie möglich aufgenommen werden. Das obige Beispiel wurde fast unmittelbar nach der Eingabe der PIN gemacht. Die maximale Verzögerung von der Eingabe bis zur Bilderfassung beträgt etwa 90 Sekunden. Und auch dann gibt es keine Erfolgsgarantie. Beispielsweise trägt ein potenzielles Opfer möglicherweise Handschuhe, sodass sich die Tasten überhaupt nicht erwärmen. Außerdem können ein oder zwei Ziffern des PIN-Codes wiederholt werden, was den Vorgang erschwert. Übrigens, wie lautet der im Bild oben eingegebene PIN-Code? Testen Sie Ihre eigene Kombinationsgabe! Die richtige Antwort lautet 1485.

Die Forscher führten insgesamt 54 Experimente mit jeweils leicht unterschiedlichen Parametern durch. Thermische Fingerabdrücke wurden sowohl von manuellen als auch von automatisierten Systemen analysiert (letztere schnitten ein wenig besser ab). In etwa der Hälfte der Fälle konnten zwar die richtigen Tasten, die gedrückt wurden, identifiziert werden aber nicht deren richtige Reihenfolge. Der genaue PIN-Code wurde in weniger als 10 % der Versuche ermittelt. Ein vierstelliger Code aus allen 11 verfügbaren Ziffern ergibt 10.000 mögliche Kombinationen. Wenn Sie alle Zahlen kennen, aber nicht die Reihenfolge, sind das noch immer 24 mögliche Kombinationen. Dies überschreitet jedoch die zulässige Anzahl der Eingabeversuche einer PIN-Nummer. Bankkarten werden oft nach drei erfolglosen Versuchen gesperrt. Die oben erwähnte Studie aus dem Jahr 2011 hat zwar unser Wissen über Spionage via Thermografie erweitert, aber leider keine aussagekräftigen Ergebnisse geliefert. Aber es gab noch weitere Studien…

Wärmebildtechnik & Smartphones

Auch Smartphones sind anfällig für Wärmebild-Angriffe. Das zeigte eine Studie aus dem Jahr 2017, die dieses aussagekräftige Bild enthielt:

Echte PINs und Sperrmuster sowie deren Wärmespuren. Quelle.

 

Nach wie vor hängt der Erfolg eines Angriffs auch hier davon ab, wie schnell das Wärmebild nach Eingabe der PIN oder Geheimkombination erstellt wird. Im Gegensatz zu Geldautomaten tragen Nutzer ihre Smartphones jedoch immer bei sich, was das Abfotografieren etwas erschwert. Dennoch ist ein solches Szenario nicht unmöglich.

Im Jahr 2017 hatten sich die Datenanalysetechnologien bereits erheblich verbessert, und die Erfolgsquote war insgesamt höher als bei den vorherigen Experimenten aus dem Jahr 2011: Mittlerweile konnten bereits bis zu 89 % der PINs durch rechtzeitige Wärmebildaufnahmen korrekt ermittelt werden. 78 % der Codes wurden geknackt, wenn ein Bild 30 Sekunden nach der Entsperrung des Telefons aufgenommen wurde, und 22 %, wenn die Forscher 60 Sekunden warteten. Übrigens sind Sperrmuster mit dieser Methode schwieriger zu entschlüsseln. Aber es gibt noch ein weiteres Problem: 2010 wurde gezeigt, dass diese Kombinationen anhand der Fingerabdrücke auf dem Bildschirm (die viel länger bleiben als Wärmeabdrücke) recht einfach zu erraten sind.

Wärmebildtechnik & Tastaturen

Was haben Geldautomaten und Smartphones gemeinsam? Wenige Tasten! In beiden Fällen handelt es sich um die Eingabe kurzer Zahlenkombinationen. Um die Möglichkeiten der Thermo-Spionage wirklich zu testen, ist es am besten, es an authentischen alphanumerischen Passwörtern auszuprobieren, die auf einer echten Tastatur eingegeben werden. Und genau das hat ein Forscherteam der University of Glasgow in Schottland getan. Die Ergebnisse ihrer Arbeit finden Sie hier. Eine vollwertige Tastatur sieht durch eine Thermovisionskamera in etwa so aus:

Wärmespuren von der Eingabe auf einer Computertastatur. Quelle.

 

Die hellen Punkte stellen Tastenabdrücke dar. Diese Studie, wie auch die anderen, testete die Zuverlässigkeit der Passwortwiederherstellung über einen bestimmten Zeitraum. Temperaturschnappschüsse wurden in Intervallen von 20, 30 und 60 Sekunden aufgenommen. Eine neue Variable war die Länge des Passworts, die beliebig lang sein kann. Besonders wichtig ist anzumerken, dass die Forscher maschinelle Lernalgorithmen (ML) einsetzten, die in Experimenten, die darauf abzielen, nützliche Daten aus verrauschtem Input zu extrahieren, unbedingt notwendig sind. Algorithmen für maschinelles Lernen, die auf Hunderten von Tastaturbildern mit bekannten Kombinationen trainiert wurden, zeigten hervorragende Ergebnisse bei der Passwortwiederherstellung. Die folgende Tabelle spiegelt ihre Performance wider.

Die Rekonstruktion eines Passworts hängt von der Zeit zwischen Eingabe und Darstellung sowie von der Passwortlänge ab.Quelle.

 

Überraschenderweise konnte in der Hälfte der Fälle sogar ein langes Passwort (16 Zeichen) wiederhergestellt werden. Aus den Beispielen oben geht hervor, wie komplex es ist, eine Tastenabfolge anhand winziger Temperaturunterschiede zu ermitteln. Doch die Studie zeigt eine wichtige Erkenntnis, die Sie und ich im Grunde bereits kennen: Passwörter sollten lang sein und vorzugsweise von einer speziellen Passwort-Manager-Software generiert werden.

Es gab aber auch unerwartete Ergebnisse. Die Wirksamkeit dieser Methode hängt von der Art des verwendeten Kunststoffs ab: denn einige Tastaturen erwärmen sich mehr als andere. Es spielt auch eine Rolle, ob die Tastatur beleuchtet ist. Im Allgemeinen zerstört die zusätzliche Wärme, die von den eingebauten LEDs oder dem Prozessor unter der Laptop-Tastatur ausgeht, den thermischen Fußabdruck. Und noch ein wichtiger Punkt: Je schneller Sie Ihr Passwort eingeben, desto unwahrscheinlicher ist es, dass es von der Wärmebildkamera erkannt wird.

Wie realistisch sind solche Angriffe?

Auf diese Frage gibt es keine allgemeingültige Antwort. Sind Ihre Handydaten wertvoll genug, dass jemand Sie mit einer Wärmebildkamera verfolgt? Glücklicherweise sind die meisten Menschen gegen solche Angriffe immun. Die größte Bedrohung scheinen digitale Türschlösser zu sein, die die Eingabe eines Codes erfordern. Beispielsweise am Eingang eines Bürogebäudes. Der Code wird in diesem Fall selten geändert, und Schlösser werden häufig an öffentlichen Orten angebracht. Potenzielle Spione können viel Zeit damit verbringen, den richtigen Code zu erraten, und dulden keine Niederlage.

In anderen Fällen ist die Methode nur im Rahmen eines zielgerichteten Angriffs auf besonders wertvolle Informationen durchführbar. Die Lösung ist, wie bei der Verteidigung vor einer Vielzahl von Seitenkanalangriffen, die sensiblen Daten in Rauschen zu ertränken. Sie können Ihre PIN mit dicken Handschuhen eingeben, wodurch ein Angriff unmöglich wird. Sie können eine hintergrundbeleuchtete Tastatur verwenden, die Cyberkriminellen mit Sicherheit jede Menge Kopfzerbrechen bereiten wird. Zudem können Sie bei der Eingabe Ihres Passworts zusätzliche Tasten drücken oder einfach berühren, so dass es fast unmöglich ist, die richtige Reihenfolge wiederherzustellen.

Im Jahr 2022 wurde eine Meta-Analyse von Studien zu Angriffen per Wärmebildtechnik veröffentlicht, deren Ziel es war, die realistische Umsetzung von Wärmebildangriffen zu bewerten. Die Autoren berichteten, dass solche Angriffe sowohl durchführbar als auch erschwinglich sind – und dass sie bei der Erstellung eines Bedrohungsmodells berücksichtigt werden müssen. Wir denken nicht, dass diese Methode in naher Zukunft ein Problem darstellen wird. Die Meta-Analyse kommt jedoch zu einem wichtigen Schluss: Ein Kennwort kann nur gestohlen werden, wenn es auch tatsächlich eingegeben wird!

Auf Umwegen gelangen wir so also wieder zum Thema Passwort-Tod. Natürlich sind die hier beschriebenen Angriffe via Wärmebildtechnik ein sehr exotischer Grund, Passwörter plötzlich über Bord zu werfen. Aber denken Sie darüber nach: Wenn Ihr Smartphone Sie anhand Ihrer Face-ID oder Ihres Fingerabdrucks erkennt, wird die Eingabe eines Passworts obsolet. Eine ganze Reihe potenzieller Angriffe (und jahrelange Forschung) werden bei fehlender Passworteingabe auf einmal vollkommen irrelevant. Selbstverständlich können alternative Authentifizierungsmethoden auch ihre Schwächen haben, aber Passwörter weisen in der Regel mehr Schwachpunkte auf. Moderne passwortlose Authentifizierungssysteme machen Phishern das Leben fast unmöglich. Die Abkehr von herkömmlichen Passwörtern hat viele Vorteile. Und jetzt kommt noch ein weiterer hinzu: Niemand kann sich mit einer Wärmebildkamera an Sie heranschleichen und Ihren PIN-Code stehlen, wenn Sie diesen gar nicht erst eingeben.

Tipps