Auf den ersten Blick wirkt das folgende Szenario völlig abwegig: Du tippst etwas auf deinem Computer. Und alles, was du schreibst – seien es Passwörter, schriftliche Dialoge oder sensible Informationen – landen bei Cyberkriminellen. Nun denkt man sofort an einen Virus, doch Fehlanzeige. Der Rechner ist sauber. Und dennoch, deine Daten sind von nun an öffentlich – mit einer bis zu 95-prozentigen Genauigkeit. Wie ist das möglich?
Forscher entwickeln akustischen Algorithmus
Forscher dreier britischer Universitäten haben ein Verfahren entwickelt, mit dessen Hilfe sich Nutzerdaten akustisch abgreifen lassen – anhand der Tastenanschläge auf einem Keyboard. Dazu werden in einem ersten Schritt Rohdaten von Tastenanschlägen einem Deep-Learning-Algorithmus zugeführt. Im Rahmen eines Tests betätigten Forscher zu diesem Zweck auf einem MacBook Pro 36 Tasten jeweils 25 Mal. Anschließend wurden eine Wellenform und ein Spektrogramm angefertigt und die Unterschiede analysiert. Von da an konnte die Software erkennen, welche Teste betätigt wurde – mit der zuvor erwähnten Genauigkeit von 95 Prozent.
Der Prozentsatz gilt allerdings nur, wenn der Ton mittels eines qualitativ vergleichsweise hochwertigen Mikrofons aufgezeichnet wurde. Im Test platzierten die Forscher zu diesem Zweck ein Apple iPhone 13 mini im Abstand von 17 cm neben das MacBook. Wurden die Tastenanschläge derweil per Zoom oder Skype erfasst, fielen die Genauigkeitswerte. Allerdings nur auf 93 (Zoom) respektive 91,7 (Skype) Prozent.
Kleiner Algorithmus mit großer Wirkung
Gelangen Cyberkriminelle in den Besitz eines solchen Algorithmus, könnten sie Nutzerdaten über ein Mikrofon oder etwa das Smartphone des Opfers entwenden. Letzteres ist heutzutage in der Regel mit einem leistungsfähigen Mikrofon ausgestattet und könnte mit einer Malware infiziert werden, die Cyberkriminellen Zugriff auf das Mikrofon verschafft. Neben dem Computer könnten Dritte auf diese Weise höchstwahrscheinlich auch andere Systeme „abhören“ – wie beispielsweise Geldautomaten. Denn auch hier kommt üblicherweise nach wie vor eine physische Tastatur zur Eingabe der PIN zum Einsatz. Zudem könnten Betrüger unbemerkt ein Mikrofon in der Nähe des Eingabefeldes befestigen. Unklar ist lediglich, inwiefern sich die Umgebungsgeräusche auf die Genauigkeit des entwickelten Verfahrens auswirken.
Die Forscher raten Verbrauchern, als Abwehrmaßnahme ihren Tippstil zu variieren. Künftig wäre auch eine Software zur Reproduktion von Tastengeräuschen respektive Rauschen, oder aber eine Tastatur-Audiofiltrierung auf Software-Basis denkbar. Auch biometrische Authentifizierungsmethoden und Passwort-Manager wären immun. Sensible Daten wie E-Mails oder schriftliche Dialoge müssten jedoch auch in diesem Fall über eine mechanische Tastatur eingetippt werden.
