Über im Internet gestohlene Kreditkartennummern spricht niemand gern. Banken nicht, da jeder Diebstahl unterstreicht, wie unsicher die digitale Bezahlmethode bleibt. Aber auch Kunden nicht. Wer sich im Internet seine Kreditkartennummer abnehmen lässt, der war eben nicht vorsichtig genug und wurde für seine Naivität bestraft.

Tatsächlich ist der Kreditkartenklau oder der Diebstahl von sensitiven Login-Daten auch möglich, wenn Nutzer vieles richtig gemacht haben. Das zeigt eine neue Untersuchung der ETH Zürich und der italienischen Universität Sapienza in Rom. Die sechs involvierten Forscher haben eine eigene Applikation entwickelt, die in der Lage ist, alle Bildschirmklicks der betroffenen Android-Handy-Nutzer aufzuzeichnen – und die entstandenen Datenpakete ohne Wissen der Nutzer an die Forscher zu übermitteln.

Ermöglicht wurde die Spionage, indem die Wissenschaftler die sogenannte Hover-Technologie umfunktionierten. Sie kommt in vielen Handys der Hersteller Samsung, Sony und Asus zum Einsatz. Weltweit sind Hunderte Millionen Smartphones betroffen. In der Schweiz sind heute schätzungsweise 60'000 Geräte mit der Technologie im Einsatz, etwa in den Galaxy S4- oder S5-Modellen oder in den Geräten der Note-Reihe.

Kein App-Store ist virenfrei

Die Forscher installierten ihre App auf Handys für 20 freiwillige Testpersonen, um dann im Geheimen das Handyverhalten ihrer Versuchskaninchen zu verfolgen. Die Wissenschaftler hätten die ­App mit dem sinnigen Namen «Hoover» (deutsch: Staubsauger) auch ins Internet oder in Googles Play Store stellen und zum Beispiel als Taschenlampe tarnen können. «Das taten wir aus ethischen Gründen nicht», sagt Luka Malisa, Mitautor der Studie und Doktorand am ETH-Institut für Informationssicherheit. Malisa weist darauf hin, dass der Virenschützer Kaspersky kürzlich aufgezeigt hat, dass es etwa der Firma Google nur bedingt gelingt, das Angebot von schädlichen Programmen in ihrem Playstore zu unterbinden. In Apples App Store sieht es leicht besser aus, da Apple den App-Entwicklern strengere Vorgaben macht. Doch auch der App Store ist nicht komplett virenfrei.

Man habe Google auf die Sicherheitsproblematik der Hover-Technologie hingewiesen, sagt Malisa. Reagiert hätte der Konzern, von dem das Betriebssystem Android stammt, aber bis heute nicht. «Vielleicht erachtet das Unternehmen das Problem gar nicht als Sicherheits­lücke, da die Technologie eigentlich ­genauso funktioniert wie vorgesehen», sagt Malisa. Von den betroffenen Telefonherstellern äusserte sich nur Samsung zur Sicherheitslücke. Die Techniker am Hauptsitz in Südkorea seien ­damit beschäftigt, die Ergebnisse der Forscher zu untersuchen.

Video: Bedienungshilfen für Mobiles

Der Sicherheitsexperte Marc Ruef von der Zürcher Firma Scip stuft die Problematik des ETH-Hacks grösser ein als die meisten anderen Sicherheitslöcher. «In der Regel nutzen Kriminelle ein Loch in einem Computersystem aus, um Daten zu klauen oder Schaden anzurichten. Solche Lücken können mit Updates geschlossen werden.»

Globaler Grossangriff auf Handynutzer?

In diesem Fall gehe das aber nicht. «Hier ist das System selber der Fehler», sagt Ruef. In anderen Worten: Die Herstellerfirmen und Google sollten allen Handynutzern mit Hover-Technologie empfehlen, diese auf ihren Geräten auszuschalten. Nur so könne man ganz sicher sein, dass man nicht ausspioniert werde. Passiert ist bis heute ­allerdings nichts.

Für Ruef ist es ein Missstand. Er ist überzeugt: Es sei nur eine Frage der Zeit, bis die Hacker einen globalen Grossangriff auf Handynutzer lancieren. Der Sicherheitsexperte hat die kürzlichen Ransomware-Attacken von Wannacry und Petya intensiv analysiert. Die Kriminellen verschlüsselten dabei Daten auf Desktop-Computern und verlangten zur Entschlüsselung Lösegeld. Bei Wannacry kamen allerdings nur rund 130'000 Dollar zusammen. Bei Petya waren es gar nur 10'000 US-Dollar. «Das hatte auch damit zu tun, dass die betroffenen Computer Firmen gehörten, die in der Regel Back-ups ihrer Daten hatten», sagt Ruef.

Bei Handys läge der Fall anders. Sie gehörten in der Regel Privatpersonen, und diese haben oft keine Back-ups ihrer Handydaten. Zudem sind Dateien auf den ­Geräten oft sehr viel persönlicher als solche auf Desktop-PC. Ruef glaubt: «Bei einer Ransomware-Attacke auf ­Handys werden viele Nutzer bereit sein, für ein paar Hundert Franken wieder Zugriff auf ihre Ferienfotos oder Whats­app-Chats zu erhalten.»

Hersteller müssen reagieren

Jean-Marc Hensch, Geschäftsführer der Swico, des Branchenverbands der digitalen Schweiz, hat gewisses Verständnis für das Schweigen der Herstellerfirmen wie Asus oder Sony. Das Smartphone sei eine Technologie mit unendlich vielen Kombinationen von ineinandergreifenden Programmen, Aufrufen und Anwendungen, die genau die viel gelobte Vielfalt, Einsetzbarkeit und Weiterentwicklung bei der Verwendung ermöglichen. «Alles vor der Lancierung bereits austesten zu wollen, ist schlicht unmöglich», sagt Hensch. Als moderner Smartphone-Nutzer müsse man damit leben, dass es auf dem Stand der heutigen Technik ­immer ein Risiko geben könne, dass irgendein Hacker irgendwo auf der Welt einen Weg findet, Schaden anzurichten. Selbst wenn man das Gerät und die Anti-Viren-Software stets auf dem aktuellen Stand halten würde.

Ob die von der ETH entdeckte Umfunktionierung der Hover-Technologie bereits von Kriminellen genutzt wird, um Kreditkartennummer oder E-Mail-Logins zu klauen? «Das wurden wir von verschiedenen Seiten auch schon gefragt. Uns ist derzeit keine Applikation bekannt, die das kann», sagt Malisa. Was natürlich nicht ausschliesst, dass ähnliche Apps in der Welt der Cyberkriminalität nicht schon längst zur Standard­ausrüstung gehören.