{"id":31291,"date":"2024-05-29T09:16:00","date_gmt":"2024-05-29T07:16:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31291"},"modified":"2024-05-29T09:50:08","modified_gmt":"2024-05-29T07:50:08","slug":"prevent-android-keylogging-and-ime-spying","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/prevent-android-keylogging-and-ime-spying\/31291\/","title":{"rendered":"Was k\u00f6nnen neugierige Android-Tastaturen ausplaudern?"},"content":{"rendered":"

\u201eHacker k\u00f6nnen \u00fcber das Internet jede Tasteneingabe auf Honor-, OPPO-, Samsung-, Vivo- und Xiaomi-Smartphones ausspionieren\u201c \u2013 alarmierende Schlagzeilen wie diese gingen in den letzten Wochen durch die Medien. Sie bezogen sich auf eine ziemlich seri\u00f6se Studie \u00fcber Schwachstellen in der Verschl\u00fcsselung des Datenverkehrs von Tastaturen<\/a>. Wenn es Angreifern gelingt, den Netzwerkverkehr, beispielsweise \u00fcber einen infizierten Heimrouter<\/a>, zu beobachten, k\u00f6nnen sie tats\u00e4chlich jeden Tastendruck abfangen und alle deine Passw\u00f6rter und sonstigen Geheimnisse mitlesen. Das ist noch lange kein Grund, dein Android-Ger\u00e4t gleich gegen ein iPhone einzutauschen. Es geht zun\u00e4chst nur um die Eingabe in chinesischer Sprache mithilfe des Pinyin-Systems und nur dann, wenn die Funktion \u201eOnlinevorhersage\u201c aktiviert ist. Trotzdem wollen wir bei dieser Gelegenheit auch andere Sprachen sowie Tastaturen anderer Hersteller beleuchten.<\/p>\n

Warum viele Pinyin-Tastaturen nicht abh\u00f6rsicher sind<\/h2>\n

Das Pinyin<\/a>-Schriftsystem, das auch als chinesisches phonetisches Alphabet bekannt ist, hilft Nutzern, chinesische W\u00f6rter mit lateinischen Buchstaben und diakritischen Zeichen zu schreiben. Es ist das offizielle Umschriftsystem f\u00fcr die chinesische Sprache und wurde unter anderem von den Vereinten Nationen \u00fcbernommen. Das Zeichnen chinesischer Schriftzeichen auf einem Smartphone ist ziemlich umst\u00e4ndlich, daher ist die Pinyin-Eingabemethode sehr beliebt und wird sch\u00e4tzungsweise von \u00fcber einer Milliarde Menschen verwendet. Im Gegensatz zu vielen anderen Sprachen l\u00e4sst sich die Wortvorhersage f\u00fcr Chinesisch, insbesondere in Pinyin, nur schwer direkt auf einem Smartphone implementieren. Es ist eine rechenintensive Aufgabe. Daher verwenden fast alle Tastaturen (oder genauer Eingabemethode-Editoren, abgek\u00fcrzt IME) eine \u201eOnlinevorhersage\u201c. Sie senden die vom Nutzer eingegebenen Pinyin-Zeichen sofort an einen Server und erhalten daf\u00fcr Vorschl\u00e4ge zur Wortvervollst\u00e4ndigung. In manchen F\u00e4llen kann die Cloud-Funktion deaktiviert werden, was jedoch die Geschwindigkeit und Qualit\u00e4t der Eingabe auf Chinesisch verringert.<\/p>\n

\"Die<\/a>

Die Tastatur sendet Daten an den Server, um den in Pinyin eingegebenen Text vorherzusagen<\/p><\/div>\n

Nat\u00fcrlich sind alle Zeichen, die du eingibst, aufgrund des \u201eOnlinevorhersage\u201c-Systems f\u00fcr die Tastaturentwickler zug\u00e4nglich. Aber das ist noch nicht alles. Der Datenaustausch erfolgt Zeichen f\u00fcr Zeichen und erfordert eine spezielle Verschl\u00fcsselung, die von vielen Entwicklern nicht korrekt implementiert wird. Darum k\u00f6nnen Dritte alle Tastenanschl\u00e4ge und die entsprechenden Vorhersagen leicht entschl\u00fcsseln.<\/p>\n

Details zu allen gefundenen Fehlern findest du in der Originalquelle<\/a>. Von den neun untersuchten Tastaturen hatte nur der Pinyin-IME in Huawei-Smartphones eine korrekt implementierte TLS-Verschl\u00fcsselung und war gegen Angriffe gewappnet. Bei den IMEs von Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi sah es dagegen trauriger aus \u2013 alle waren in unterschiedlichem Ma\u00dfe anf\u00e4llig. F\u00fcr die Standard-Pinyin-Tastatur von Honor (Baidu 3.1) und QQ-Pinyin gibt es immer noch keine Updates, obwohl die gefundenen Schwachstellen an die Entwickler gemeldet wurden. Pinyin-Nutzern wird empfohlen, ihren IME auf die neueste Version zu aktualisieren und, falls keine Updates verf\u00fcgbar sind, einen anderen Pinyin-IME herunterzuladen.<\/p>\n

Senden andere Tastaturen auch Tastenanschl\u00e4ge?<\/h2>\n

Daf\u00fcr besteht keine direkte technische Notwendigkeit. F\u00fcr die meisten Sprachen k\u00f6nnen die Endungen von W\u00f6rtern und S\u00e4tzen direkt auf dem Ger\u00e4t vorhergesagt werden, sodass bei g\u00e4ngigen Tastaturen keine zeichenweise Daten\u00fcbertragung notwendig ist. Daten \u00fcber den eingegebenen Text k\u00f6nnen aber trotzdem aus verschiedenen Gr\u00fcnden an den Server gesendet werden \u2013 zur Synchronisierung des pers\u00f6nlichen W\u00f6rterbuchs zwischen mehreren Ger\u00e4ten, f\u00fcr maschinelles Lernen oder f\u00fcr andere Zwecke, die nicht direkt mit der Hauptfunktion der Tastatur zusammenh\u00e4ngen \u2013 beispielsweise zur Werbeanalyse.<\/p>\n

Du kannst selbst entscheiden, ob solche Daten auf den Servern von Google und Microsoft gespeichert werden sollen. Es ist jedoch unwahrscheinlich, dass du deine Daten mit Dritten teilen willst. Mindestens ein solcher Vorfall wurde 2016 bekannt: Die Tastatur SwiftKey verwendete E-Mail-Adressen und andere Eintr\u00e4ge aus pers\u00f6nlichen W\u00f6rterb\u00fcchern anderer Nutzer f\u00fcr Vorhersagen<\/a>. Nach dem Vorfall deaktivierte Microsoft den Synchronisierungsdienst vor\u00fcbergehend, vermutlich um die Fehler zu beheben. Wenn du nicht willst, dass dein pers\u00f6nliches W\u00f6rterbuch auf Microsoft-Servern gespeichert wird, erstelle kein SwiftKey-Benutzerkonto. Wenn du bereits eines hast, deaktiviere es und l\u00f6sche die in der Cloud gespeicherten Daten. Eine Anleitung findest du hier<\/a>.<\/p>\n

Bisher sind keine weiteren F\u00e4lle bekannt, in denen eingetippter Text durchgesickert ist. Untersuchungen haben jedoch gezeigt, dass g\u00e4ngige Tastaturen w\u00e4hrend der Eingabe aktiv bestimmte Metadaten \u00fcberwachen. Gboard (Google) und SwiftKey (Microsoft) senden beispielsweise Daten \u00fcber jedes eingegebene Wort<\/a>: Sprache, Wortl\u00e4nge, genaue Eingabezeit und die App, in der das Wort eingegeben wurde. SwiftKey sendet auch Statistiken dar\u00fcber, wie viel Aufwand gespart wurde: Wie viele W\u00f6rter wurden vollst\u00e4ndig eingetippt, wie viele wurden automatisch vorhergesagt und wie viele wurden durch Streichen oder Wischen geschrieben. Wenn man bedenkt, dass beide Tastaturen die eindeutige Werbe-ID des Nutzers an die \u201eZentrale\u201c senden, er\u00f6ffnen sich reichlich M\u00f6glichkeiten, um Nutzungsprofile zu erstellen. Es l\u00e4sst sich beispielsweise feststellen, welche Nutzer in einem beliebigen<\/strong> Messenger miteinander chatten.<\/p>\n

Wenn du einen SwiftKey-Account erstellst und die Option \u201eHelp Microsoft improve\u201c nicht deaktivierst, k\u00f6nnen gem\u00e4\u00df der Datenschutzrichtlinie \u201ekleine Beispiele\u201c des eingegebenen Textes an den Server gesendet werden. Wie dies funktioniert und wie gro\u00df diese \u201ekleinen Beispiele\u201c sind, ist leider unbekannt.<\/p>\n

<\/a>

Was bedeutet \u201eHelp Microsoft improve\u201c? Dass deine Daten gesammelt werden?<\/p><\/div>\n

In Google-Gboard kannst du die Option \u201eShare Usage Statistics\u201c deaktivieren, wodurch die Menge der \u00fcbertragenen Informationen erheblich reduziert wird: Wortl\u00e4ngen und Apps, in denen die Tastatur verwendet wurde, werden nicht mehr \u00fcbermittelt.<\/p>\n

<\/a>

Wenn du in Gboard die Option \u201eShare Usage Statistics\u201c deaktivierst, wird die Menge der erfassten Informationen erheblich reduziert<\/p><\/div>\n

Was die Verschl\u00fcsselung bei der Daten\u00fcbertragung angeht, hatten die Forscher f\u00fcr Gboard und SwiftKey keine Bedenken. Beide Apps basieren auf der Standard-TLS-Implementierung des Betriebssystems und sind gegen g\u00e4ngige kryptografische Angriffe resistent. Daher ist es unwahrscheinlich, dass der Datenverkehr in diesen Apps abgefangen wird.<\/p>\n

Neben Gboard und SwiftKey analysierten die Autoren auch die beliebte App AnySoftKeyboard. Sie wurde ihrem Ruf als Tastatur mit guter Privatsph\u00e4re voll und ganz gerecht, da sie keine Telemetriedaten an die Server sendet.<\/p>\n

K\u00f6nnen Passw\u00f6rter und andere vertrauliche Daten von einem Smartphone durchsickern?<\/h2>\n

Eine App muss nicht unbedingt eine Tastatur sein, um sensible Daten abzufangen. TikTok \u00fcberwacht beispielsweise alle Daten<\/a>, die in die Zwischenablage kopiert wurden, obwohl diese Funktion f\u00fcr ein soziales Netzwerk unn\u00f6tig erscheint. Android-Malware aktiviert auf Smartphones h\u00e4ufig Eingabehilfen und Administratorrechte<\/a>, um Daten aus Eingabefeldern oder direkt aus Dateien \u201einteressanter\u201c Apps zu erfassen.<\/p>\n

Allerdings kann eine Android-Tastatur nicht nur eingegebenen Text \u201epreisgeben\u201c. So verursachte beispielsweise die AI.Type-Tastatur ein Datenleck, das 31 Millionen Nutzer betraf<\/a>. Aus r\u00e4tselhaften Gr\u00fcnden wurden Daten wie Telefonnummern, genaue Standortdaten und sogar der Inhalt von Adressb\u00fcchern gesammelt.<\/p>\n

So sch\u00fctzt du dich vor neugierigen Tastaturen und Eingabefeldern<\/h2>\n