• Teil 1: Wearables – Neue Freiheit
• Teil 2: Wearables – Technologie am eigenen Körper
• Teil 3: Wearables – Neue Bedrohungen
• Teil 4: Wearables – Keine Privatsphäre für die Biometrie
• Teil 5: Wearables – Ein Blick nach vorn

Wearables liefern eine neue Flut an Daten, die von Angreifern verwendet werden können, um Personen oder Unternehmen Schaden zuzufügen. Mit der Aufzeichnung von biometrischen Daten eröffnen sich neue Angriffshorizonte. Die Angriffe werden persönlicher und gezielter. Nicht mehr die Daten sind das Ziel, sondern der Nutzer.

Google Glass, Nike FuelBand und andere tragbare Technologien – sogenannte Wearables – bieten ihren Benutzern neue Möglichkeiten, den eigenen Körper und ihr Umfeld zu analysieren. Von Pulsmessung über die Einblendung von E-Mails direkt vor dem Auge scheint nichts unmöglich. Und obwohl Google Glass die Gesichtserkennung mit ihrer Datenbrille verboten hat, existieren trotzdem Apps, die genau das tun. Diese Apps werden von Google nicht unterstützt und im Playstore nicht angeboten, können aber trotzdem mit minimalem Aufwand auf dem Gerät installiert werden.

Mit den technologischen Neuerungen und der Expansion mit neuen Features sind auch neue Angriffsvektoren entstanden, die ausgenutzt werden können. Der Schaden kann dabei mitunter beachtlich sein. Nicht nur droht der Verlust von medizinischen Daten über den eigenen Körper, wenn der Pulsmesser kompromittiert wird, sondern auch der Verlust persönlicher Daten, wenn die Datenbrille ein Sicherheitsleck hat.

Denn auch wenn die Geräte selbst gut gegen Eindringlinge gesichert sind, müssen die Daten von den Sensoren oder dem Display auf ein weiteres Anzeigegerät gelangen. Meist dient das Smartphone als Anzeigegerät. Von dort aus werden die Daten meist kabellos auf den Computer übertragen und von dort ins Internet.

Im Folgenden wird ein Threat Assessment aus der Sicht eines Angreifers durchgespielt, inklusive der Analyse der Geräte und dessen Funktionalität. Im Fachjargon nennt sich das _Red Team_-Approach.

Die Daten, die zum Ziel werden können

Wearables – genau wie jedes andere Gerät – zeichnen Daten auf. Im Falle von Datenbrillen, Fitnesstrackern und anderen Geräten am eigenen Körper zeichnen die bisher auf dem Markt erhältlichen Geräte wesentlich mehr Daten als ein Smartphone auf. Die folgende Tabelle ist dabei ein grober Überblick, basierend auf den bisher erhältlichen Wearables. Dass weitere Daten im Zuge der Weiterentwicklung des Konzepts und der Technologie hinzukommen, ist selbstverständlich.

Aus Sicht eines Angreifers gilt es aber nicht nur zu verstehen, welche Daten zur Beute werden können, sondern auch, wie diese Daten verarbeitet und übertragen werden. Es gilt eine Art Referenzrahmen für die Daten aufzustellen, der folgende Fragen beantwortet:

• Wo werden die Daten gespeichert?
• Wie werden die Daten übertragen?
• In welchem Gerät werden die Daten verarbeitet?
• Wo sind die Daten für den Benutzer sichtbar?

Datensicherheit in der Speicherung

Durch die Beantwortung dieser Fragen ergeben sich die folgenden theoretischen Modelle, die mit den obigen Vorbehalten zu betrachten sind:

Für das erste Modell spricht, dass der Benutzer als einziger auf die Daten zugreifen kann und diese nirgendwohin übermittelt werden. Zudem ist der einzige Weg an die Daten zu kommen der physische Zugriff auf das Gerät. Das grösste Sicherheitsrisiko für den Datenverlust ist der Verlust des Geräts, sei es durch Diebstahl oder Verlieren. Damit Fremde nicht ohne Weiteres auf die Daten zugreifen können, kann eine Verschlüsselung oder ein Authentisierungsmechanismus mit Passwort oder PIN implementiert werden. Die Nachteile dieses Modells liegen auf der Hand: Grosse Speicher auf kleinem Raum sind wesentlich teurer, das Display ist unter Umständen zu klein, um komplexe Datensätze anzuzeigen und das Gerät selbst kann die nötigen Operationen zur Datenverarbeitung unter Umständen gar nicht ausführen.

Im zweiten Modell werden die Daten vom Wearable an ein Smartphone übertragen und auf dem Empfängergerät in einer App gespeichert und verarbeitet. Es werden in diesem Modell aber keine Daten an einen Server gesendet. Genau wie im ersten Modell ist der Verlust der Daten das grösste Sicherheitsrisiko, was auch das Abfangen der Daten im Transfer beinhaltet. Zusätzlich zur Sicherung mit Passwort oder PIN kommt aber die Möglichkeit hinzu, dass ein Benutzer die Daten auf dem Smartphone vom heimischen Computer aus löschen kann. Für den Endbenutzer entstehen im zweiten Modell sicherheitstechnisch mehr Vorteile. Durch das grössere Display des Smartphones und den grösseren Speicher des Geräts können auch komplexe Datensätze angezeigt und verarbeitet werden. Das bietet natürlich eine wesentlich grössere Angriffsfläche als ein limitiertes Wearable.

Das dritte Modell bietet für den User die meisten Vorteile. Die Daten werden an einen Server übertragen und dort gespeichert und verarbeitet. Die Daten sind so vor physischem Verlust geschützt und können auch komplexen Auswertungsmechanismen unterzogen werden. Aber: Der Nutzer gibt damit die Rechte an den Daten in den meisten Fällen ab. Denn die Daten werden auf dem Server eines IT-Dienstleisters abgespeichert, was in den Privacy Statements und den Allgemeinen Geschäftsbedingungen der Hersteller festgehalten wird. Doch wer auf die Daten zugreifen kann und darf ist für den Endanwender unklar.

Die neuen Angriffe

So weit die klassische Analyse, die auch zu klassischen Angriffen führt. Mit der Aufzeichnung von Pulsfrequenz, Schlafphasen und weiteren Gesundheitsdaten eröffnen sich neue, bisher nicht dagewesene Angriffsszenarien. Sie sind wesentlich gezielter, persönlicher und haben direkten Einfluss auf die Gesundheit der Zielperson.

Daher werden nicht die Daten zum Ziel der Angriffe, sondern die Person, von der die Daten stammen. Die Pulsfrequenz und die Schlafphasenanalyse wird dabei nur Mittel zum Zweck.

Bereits heute werden Pressekonferenzen von Analytikern unter die Lupe genommen: Blickt der Sprecher nach links oben? Wo sind seine Hände? Ist seine Postur eher verkrampft oder steht er locker da? Wie ist seine Stimmlage? Was sagt seine Wortwahl aus? Analytiker weltweit nehmen solche und andere Indikatoren des menschlichen Körpers zum Anlass, weitere Entscheide zu fällen. In Kriminalfällen und in Talk-Shows ist der Lügendetektor ein oft eingesetztes Mittel, um Straftäter zu überführen oder Affären aufzudecken. In der Fernsehserie Lie to Me spielt Tim Roth einen Experten in dieser Art der Analyse, in der er das real existierende Facial Action Coding System auf der Suche nach der Wahrheit einsetzt. Websites, die Kurse für das erfolgreiche Erobern von Frauen anbieten, basieren viele ihrer Techniken auf der physischen Reaktion des Gegenübers. Andere analysieren Reden und Vorträge, sei es aus Leidenschaft oder aus Geschäftsinteresse.

Mit Wearables werden diese Auskünfte noch viel exakter, da eine Flut an neuen, verlässlicheren Daten zur Verfügung steht. Da aber noch keine Präzedenzfälle vorliegen, bleibt aktuell nur das Ausweichen auf theoretische Szenarien:

• Wenn die Konkurrenz weiss, dass der CEO eines Unternehmens gesundheitlich nicht mehr lange seine Position innehaben kann, so kann sie sich auf den Machtwechsel vorbereiten und die Situation finanziell ausnutzen. Feindliche Übernahmen sind im Machtvakuum oft einfacher als zu Zeiten, in denen die Führung eines Unternehmens gefestigt ist.
• Verhandlungen können künstlich in die Länge gezogen werden, damit ein älterer Geschäftsmann, der oft zur Toilette muss, einfacher von etwas überzeugt wird. Zudem wird viel Wasser aufgetischt.
• Eine Journalistin könnte durch die Analyse der Pulsfrequenz herausfinden, wann sie nachhaken muss und wann ihr Interviewpartner sich verkrampft. Das funktioniert sogar nach dem Interview, also bräuchte sie nicht einmal zwingend einen Live-Feed. Journalisten machen das heute schon, wie dieses News-Interview mit einem Mann, der später als Mörder im Fall, über den berichtet wird, überführt wurde. Die Journalstin hakt nach, stellt komplizierte Fragen, wiederholt Fragen. Sie weiss zwar nicht, dass der Mann vor ihr ein Mörder ist, aber sie weiss, dass etwas nicht stimmt.

Die Mitigation dieses Problems in der Businesswelt ist einfach: Executives sollten entweder keine Wearables verwenden oder die entsprechenden Funktionen deaktivieren. Damit dies geschieht und als Policy im Unternehmen verankert wird, muss ein sicherheitskritisches Umdenken stattfinden, das mehr als nur Passwörter und die Sicherheit der Server betrifft.

Auch durch die bewusste Manipulation der Daten, die vom Wearable zum verarbeitenden Gerät, sei das Smartphone oder Computer, fliessen eröffnen sich neue Szenarien. So können Usern Krankheiten vorgegaukelt werden, oder auch die Gesundheit.

Umdenken an beiden Fronten

Mit den neuen Möglichkeiten muss nicht nur die Defensive umdenken. Auch Angreifer müssen über die Bücher. Denn wer an den Feed einer bestimmten Zielperson will, dem nützt es nichts, sämtliche Einträge einer Datenbank zu erhalten. Denn mit mehreren Tausend Pulsfrequenz-Datenblättern kann ein Angreifer nichts anfangen. Er braucht die Daten einer Zielperson. Die Attacken müssen gezielter und präziser werden. Das bedeutet, dass im Vorfeld der Angriffe Social Engineering noch stärker zum Tragen kommen kann, was wiederum eine andere Art von Sicherheitsdenken auf der Verteidigerseite erfordert:

• Personal muss besser geschult werden. Die Türe für vermeintliche Kollegen offenhalten, Auskünfte am Telefon geben oder fremde Mailanhänge öffnen wird zum Tabu.
• Badge-Systeme, Schlüssel und andere Zugangskontrollen werden wichtiger.
• Das persönliche Umfeld von Schlüsselfiguren im Unternehmen, sei das Arzt, Coiffeuse oder Familie, muss ebenfalls sensibilisiert werden.
• Social Media Etiquette wird für alle mit dem Key Player in Kontakt stehenden Figuren wichtig. Denn auch wer kein eigenes Facebook-Profil oder einen Google-Plus-Account hat, hat dennoch eine Präsenz.
• Die Medienpräsenz der Executives, sei das an Apéros oder in persönlichen Portraits, muss strikt kontrolliert werden.

Kurz: Jede Information über einen Key Player kann und wird im Zweifelsfall gegen ihn oder sie verwendet.

Klassische Angriffe bleiben bestehen

Dennoch können auch klassische Angriffe weiterhin zum Tragen kommen. Die Angriffsfläche ändert sich mit der Einführung von Wearables nur in der Grösse. Neue Angriffe kommen hinzu, Alte fallen aber nicht weg. Um klassische Attacken ausführen zu können muss ein Angreifer zusätzlich zu den oben genannten Daten die Verbindungen und deren Typen kennen. Generell gilt: Funkverbindungen aller Art, darunter WLAN-Verbindungen, Bluetooth und ANT, haben zwei inhärente Schwachstellen.

1. Jeder, der sich im Sendegebiet befindet und das nötige Equipment besitzt, kann das Signal empfangen.
2. Jeder, der sich im Sendegebiet befindet und das nötige Equipment besitzt, kann ein Signal aussenden.

Im ersten Modell findet keine Datenübertragung statt. Daher gibt es in den Übertragungen keinen Angriffsvektor.

Das zweite und dritte Modell bedienen sich in der Regel einer der folgenden Technologien (siehe auch Teil 2 der Serie)

• Bluetooth
• Bluetooth Low Energy: stromsparende Variante von Bluetooth
• ANT/ANT+

Gemein haben diese Technologien, dass sie ein Wireless Personal Area Network (WPAN) zwischen dem Wearable und einem anderen Gerät bilden. Dieses zeichnet sich durch die kurze Distanz – sie liegt unter 30 Meter – der Funkausbreitung aus.

Im dritten Modell kommt zum WPAN eine zusätzliche Verbindung hinzu: Das Smartphone verbindet sich mit dem Internet. Dies kann entweder über eine WLAN-Verbindung oder das Mobilfunknetz erfolgen. In diesem Modell reicht das Sichern der Funkübertragung alleine nicht aus, denn die Internetverbindung muss ebenfalls gesichert werden, damit ein Dritter diese nicht einsehen kann. Es stehen dabei folgende Möglichkeiten zur Verfügung:

• HTTPS mit TLS
• HTTPS mit SSL
• VPN-Verbindung

In beiden Fällen ist die gesamte Kommunikation End-to-End verschlüsselt und findet an keiner Stelle unverschlüsselt statt.

Angriffsvektoren

Es gibt, kurz gesagt, drei mögliche Angriffsvektoren. Sie liegen in den folgenden Bereichen:

• Übertragung: Ein Angreifer versucht, die Daten während der Übertragung von Wearable zu Smartphone oder von Smartphone zu Computer oder Internet abzufangen.
• Verarbeitung: Die Daten werden im Speicher manipuliert oder gestohlen. Dieser Speicher kann im Wearable sein, oder auch im Smartphone oder auf dem Server des Herstellers.
• Darstellung: Ein Angreifer manipuliert die Datenausgabe oder schaut sich von dort die Daten ab.

Das macht unter anderem folgende Angriffe möglich, die sich bereits bewährt haben.

• Denial of Service: Die Verbindungen, die das Wearable zur Funktion benötigt, werden systematisch überlagert, gestört oder anders beeinflusst, sodass der Nutzer die Dienste des Wearables nicht mehr verwenden kann.
• Eavesdropping: Dies ist die Basis für die neuen Angriffe. Die Daten der Nutzer werden ohne deren Wissen aufgezeichnet. Eavesdropping erlaubt es einem Angreifer, eine Replay-Attacke zu starten. Dabei werden aufgezeichnete Daten zu einem späteren Zeitpunkt erneut an den Empfänger gesendet. Oder Message Modification Attacks, dabei werden Nachrichten verändert und an den Empfänger weitergeleitet.
• Man-In-The-Middle (MITM): Während eines solchen Angriffs schleust sich der Angreifer zwischen die beiden kommunizierenden Geräte und leitet den gesamten Datenverkehr über einen Server unter seiner Kontrolle zu den entsprechenden Endgeräten. Somit fliesst der Datenstrom nicht mehr von Wearable zu Empfangsgerät sondern von Wearable via Angreifer zum Empfangsgerät. Auf seinem Server kann der Angreifer den Traffic beliebig modifizieren und einsehen.

Die Realität

Dass diese Szenarien nicht aus der Luft gegriffen sind, beweisen Security Researcher und Hacker. Denn wenn immer eine neue Technologie auf den Markt kommt, ist die Herausforderung gross, diese aufzubrechen und zu verändern. Technology Consultant Jay Freeman alias Saurik hat es geschafft, Google Glass mit einem Exploit – einer funktionalen Angriffsmethode – für Android 4.0 zu hacken.

Laut seinem Report ist es Freeman gelungen, einen Backup Exploit für Android 4.0.x auf der Brille zu laden. Damit konnte er die Sicherheitsfunktion, die alle persönlichen Daten auf Google Glass löscht sobald Sicherheitsvorkehrungen umgangen werden, austricksen. Mit der Einschleusung von eigenem Code hat der Hacker potentiellen Angreifern Tür und Tor geöffnet, allerlei Malware auf die Geräte zu laden. Das ermöglicht in vielen Fällen die oben genannten Angriffe.

Der Clou: Freeman ersetzt nichts auf der Datenbrille, sondern verändert lediglich die existierende Software. Damit würde er es schaffen, einen Angriff an manch einem User vorbeizuschmuggeln.

In der Folge zeichnet er ein erschreckendes Bild der Angriffsmöglichkeiten seines Exploits:

Das bedeutet, dass wenn Sie Ihre Google Glass jemand anderem überlassen und es über einen unlocked Bootloader verfügt, dann kann ein Angreifer innerhalb einer Minute auf alle auf dem Gerät gespeicherten Daten zugreifen. Trotz der Tatsache, dass die Daten mit einem vierstelligen PIN geschützt sind, der Ihre persönlichen Daten schützt (und diese ab Android 4.0 sogar verschlüsselt), dauert es nicht lange, jeden vierstelligen PIN auszuprobieren (unter Apple iOS dauert das gerade mal zehn Minuten.

Die Researcher von Lookout Security hat zudem bewiesen, dass es möglich ist, die vollständige Kontrolle über das Gerät zu erlangen, indem ein User einen QR-Code einscannt.

Google begegnet dem mit Humor und einer Herausforderung. Googler Stephen Lau postete Folgendes auf seinem Google-Plus-Profil:

Ich will ja keinen traurig machen… aber ernsthaft… wir haben das Gerät [Google Glass] absichtlich unlocked gelassen, damit ihr es hacken könnt und verrückten, spassigen Mist damit anstellen könnt. Ich meine, verdammt nochmal, ihr habt 1500 Dollar dafür bezahlt… tobt euch aus. Zeigt mir etwas wirklich Cooles.

Und genau daran arbeiten Hacker weltweit.

Über den Autor

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

• http://face-and-emotion.com/dataface/facs/description.jsp
• http://forum.xda-developers.com/showthread.php?t=1886460
• http://mannerofspeaking.org/2011/06/02/analysis-of-a-speech-by-bruce-aylward-2/
• http://www.nametag.ws/
• http://www.puatraining.com/
• http://www.saurik.com/id/16
• https://blog.lookout.com/blog/2013/07/17/hacking-the-internet-of-things-for-good/
• https://plus.google.com/+StephenLau/posts/ERUJ8e1yKRd
• https://www.youtube.com/watch?v=KIroLgiCyP8