Was können neugierige Android-Tastaturen ausplaudern?

„Hacker können über das Internet jede Tasteneingabe auf Honor-, OPPO-, Samsung-, Vivo- und Xiaomi-Smartphones ausspionieren“ – alarmierende Schlagzeilen wie diese gingen in den letzten Wochen durch die Medien. Sie bezogen sich auf eine ziemlich seriöse Studie über Schwachstellen in der Verschlüsselung des Datenverkehrs von Tastaturen. Wenn es Angreifern gelingt, den Netzwerkverkehr, beispielsweise über einen infizierten Heimrouter, zu beobachten, können sie tatsächlich jeden Tastendruck abfangen und alle deine Passwörter und sonstigen Geheimnisse mitlesen. Das ist noch lange kein Grund, dein Android-Gerät gleich gegen ein iPhone einzutauschen. Es geht zunächst nur um die Eingabe in chinesischer Sprache mithilfe des Pinyin-Systems und nur dann, wenn die Funktion „Onlinevorhersage“ aktiviert ist. Trotzdem wollen wir bei dieser Gelegenheit auch andere Sprachen sowie Tastaturen anderer Hersteller beleuchten.

Warum viele Pinyin-Tastaturen nicht abhörsicher sind

Das Pinyin-Schriftsystem, das auch als chinesisches phonetisches Alphabet bekannt ist, hilft Nutzern, chinesische Wörter mit lateinischen Buchstaben und diakritischen Zeichen zu schreiben. Es ist das offizielle Umschriftsystem für die chinesische Sprache und wurde unter anderem von den Vereinten Nationen übernommen. Das Zeichnen chinesischer Schriftzeichen auf einem Smartphone ist ziemlich umständlich, daher ist die Pinyin-Eingabemethode sehr beliebt und wird schätzungsweise von über einer Milliarde Menschen verwendet. Im Gegensatz zu vielen anderen Sprachen lässt sich die Wortvorhersage für Chinesisch, insbesondere in Pinyin, nur schwer direkt auf einem Smartphone implementieren. Es ist eine rechenintensive Aufgabe. Daher verwenden fast alle Tastaturen (oder genauer Eingabemethode-Editoren, abgekürzt IME) eine „Onlinevorhersage“. Sie senden die vom Nutzer eingegebenen Pinyin-Zeichen sofort an einen Server und erhalten dafür Vorschläge zur Wortvervollständigung. In manchen Fällen kann die Cloud-Funktion deaktiviert werden, was jedoch die Geschwindigkeit und Qualität der Eingabe auf Chinesisch verringert.

Die Tastatur sendet Daten an den Server, um den in Pinyin eingegebenen Text vorherzusagen

Natürlich sind alle Zeichen, die du eingibst, aufgrund des „Onlinevorhersage“-Systems für die Tastaturentwickler zugänglich. Aber das ist noch nicht alles. Der Datenaustausch erfolgt Zeichen für Zeichen und erfordert eine spezielle Verschlüsselung, die von vielen Entwicklern nicht korrekt implementiert wird. Darum können Dritte alle Tastenanschläge und die entsprechenden Vorhersagen leicht entschlüsseln.

Details zu allen gefundenen Fehlern findest du in der Originalquelle. Von den neun untersuchten Tastaturen hatte nur der Pinyin-IME in Huawei-Smartphones eine korrekt implementierte TLS-Verschlüsselung und war gegen Angriffe gewappnet. Bei den IMEs von Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi sah es dagegen trauriger aus – alle waren in unterschiedlichem Maße anfällig. Für die Standard-Pinyin-Tastatur von Honor (Baidu 3.1) und QQ-Pinyin gibt es immer noch keine Updates, obwohl die gefundenen Schwachstellen an die Entwickler gemeldet wurden. Pinyin-Nutzern wird empfohlen, ihren IME auf die neueste Version zu aktualisieren und, falls keine Updates verfügbar sind, einen anderen Pinyin-IME herunterzuladen.

Senden andere Tastaturen auch Tastenanschläge?

Dafür besteht keine direkte technische Notwendigkeit. Für die meisten Sprachen können die Endungen von Wörtern und Sätzen direkt auf dem Gerät vorhergesagt werden, sodass bei gängigen Tastaturen keine zeichenweise Datenübertragung notwendig ist. Daten über den eingegebenen Text können aber trotzdem aus verschiedenen Gründen an den Server gesendet werden – zur Synchronisierung des persönlichen Wörterbuchs zwischen mehreren Geräten, für maschinelles Lernen oder für andere Zwecke, die nicht direkt mit der Hauptfunktion der Tastatur zusammenhängen – beispielsweise zur Werbeanalyse.

Du kannst selbst entscheiden, ob solche Daten auf den Servern von Google und Microsoft gespeichert werden sollen. Es ist jedoch unwahrscheinlich, dass du deine Daten mit Dritten teilen willst. Mindestens ein solcher Vorfall wurde 2016 bekannt: Die Tastatur SwiftKey verwendete E-Mail-Adressen und andere Einträge aus persönlichen Wörterbüchern anderer Nutzer für Vorhersagen. Nach dem Vorfall deaktivierte Microsoft den Synchronisierungsdienst vorübergehend, vermutlich um die Fehler zu beheben. Wenn du nicht willst, dass dein persönliches Wörterbuch auf Microsoft-Servern gespeichert wird, erstelle kein SwiftKey-Benutzerkonto. Wenn du bereits eines hast, deaktiviere es und lösche die in der Cloud gespeicherten Daten. Eine Anleitung findest du hier.

Bisher sind keine weiteren Fälle bekannt, in denen eingetippter Text durchgesickert ist. Untersuchungen haben jedoch gezeigt, dass gängige Tastaturen während der Eingabe aktiv bestimmte Metadaten überwachen. Gboard (Google) und SwiftKey (Microsoft) senden beispielsweise Daten über jedes eingegebene Wort: Sprache, Wortlänge, genaue Eingabezeit und die App, in der das Wort eingegeben wurde. SwiftKey sendet auch Statistiken darüber, wie viel Aufwand gespart wurde: Wie viele Wörter wurden vollständig eingetippt, wie viele wurden automatisch vorhergesagt und wie viele wurden durch Streichen oder Wischen geschrieben. Wenn man bedenkt, dass beide Tastaturen die eindeutige Werbe-ID des Nutzers an die „Zentrale“ senden, eröffnen sich reichlich Möglichkeiten, um Nutzungsprofile zu erstellen. Es lässt sich beispielsweise feststellen, welche Nutzer in einem beliebigen Messenger miteinander chatten.

Wenn du einen SwiftKey-Account erstellst und die Option „Help Microsoft improve“ nicht deaktivierst, können gemäß der Datenschutzrichtlinie „kleine Beispiele“ des eingegebenen Textes an den Server gesendet werden. Wie dies funktioniert und wie groß diese „kleinen Beispiele“ sind, ist leider unbekannt.

Was bedeutet „Help Microsoft improve“? Dass deine Daten gesammelt werden?

In Google-Gboard kannst du die Option „Share Usage Statistics“ deaktivieren, wodurch die Menge der übertragenen Informationen erheblich reduziert wird: Wortlängen und Apps, in denen die Tastatur verwendet wurde, werden nicht mehr übermittelt.

Wenn du in Gboard die Option „Share Usage Statistics“ deaktivierst, wird die Menge der erfassten Informationen erheblich reduziert

Was die Verschlüsselung bei der Datenübertragung angeht, hatten die Forscher für Gboard und SwiftKey keine Bedenken. Beide Apps basieren auf der Standard-TLS-Implementierung des Betriebssystems und sind gegen gängige kryptografische Angriffe resistent. Daher ist es unwahrscheinlich, dass der Datenverkehr in diesen Apps abgefangen wird.

Neben Gboard und SwiftKey analysierten die Autoren auch die beliebte App AnySoftKeyboard. Sie wurde ihrem Ruf als Tastatur mit guter Privatsphäre voll und ganz gerecht, da sie keine Telemetriedaten an die Server sendet.

Können Passwörter und andere vertrauliche Daten von einem Smartphone durchsickern?

Eine App muss nicht unbedingt eine Tastatur sein, um sensible Daten abzufangen. TikTok überwacht beispielsweise alle Daten, die in die Zwischenablage kopiert wurden, obwohl diese Funktion für ein soziales Netzwerk unnötig erscheint. Android-Malware aktiviert auf Smartphones häufig Eingabehilfen und Administratorrechte, um Daten aus Eingabefeldern oder direkt aus Dateien „interessanter“ Apps zu erfassen.

Allerdings kann eine Android-Tastatur nicht nur eingegebenen Text „preisgeben“. So verursachte beispielsweise die AI.Type-Tastatur ein Datenleck, das 31 Millionen Nutzer betraf. Aus rätselhaften Gründen wurden Daten wie Telefonnummern, genaue Standortdaten und sogar der Inhalt von Adressbüchern gesammelt.

So schützt du dich vor neugierigen Tastaturen und Eingabefeldern

• Verwende möglichst eine Tastatur, die keine unnötigen Daten an den Server sendet. Bevor du eine neue Tastatur-App installierst, informiere dich im Internet darüber. Sollte die App in irgendwelche Skandale verwickelt gewesen sein, erfährst du es sofort.
• Wenn dir der Komfort der Tastatur wichtiger ist als der Datenschutz (wir verstehen gut, dass Tastatur-Apps wichtig sind), schau dir die Einstellungen an und deaktiviere möglichst die Optionen zur Synchronisierung und Übertragung von Statistiken. Solche Optionen können sich hinter verschiedenen Namen verstecken, z. B. „Konto“, „Cloud“, „Help us improve“ oder sogar „Audiospenden“.
• Überprüfe, welche Android-Berechtigungen für die Tastatur erforderlich sind, und entziehe alle überflüssigen Berechtigungen. Eine Tastatur braucht definitiv keinen Zugriff auf Kontakte oder auf die Kamera.
• Installiere nur Apps aus vertrauenswürdigen Quellen, überprüfe die Reputation der App und erteile ihr keine unnötigen Berechtigungen.
• Statte alle deine Android- und iOS-Smartphones mit einem umfassenden Schutz aus, z. B. mit Kaspersky Premium.