Automatischer Hacker-Helfer: Dieser Roboter knackt PIN-Codes

Von Uli Ries

Roboter als Codeknacker: Schneller und ausdauernder als ein Mensch Zur Großansicht
Uli Ries

Roboter als Codeknacker: Schneller und ausdauernder als ein Mensch

Dieser Roboter gibt nicht auf: Eine für 150 Euro zusammengebastelte Maschine tippt Ziffernfolgen ins Handy, bis sie den Sperrcode des Besitzers findet, zur Not tagelang. Meist kommt sie aber viel schneller zum Ziel, denn viele PIN-Codes sind leicht zu knacken.

Justin Engler und Paul Vines verdienen ihren Lebensunterhalt mit dem Knacken von Soft- und Hardware. Allerdings nicht im Untergrund, sondern im Auftrag von Herstellern oder Nutzern der Produkte. Ihr Job ist es, Schwachstellen aufzudecken, damit sie behoben werden, bevor Kriminelle sie ausnutzen.

Um diese Aufgabe erledigen zu können, müssen sie regelmäßig PIN-Codes zum Entsperren von Telefonen beziehungsweise darauf installierten Apps umgehen. Nachdem die Eingabe zigtausender mehrstelliger Codes von Hand nicht nur unfassbar eintönig, sondern auch sehr zeitaufwendig ist, machten sich die Hacker auf die Suche nach einer Alternative - und stießen auf ein Roboterprojekt im Internet.

Der knapp 30 Zentimeter hohe und auf spinnenartigen Beinen stehende Roboter, den sie fanden, war ideal geeignet für das, was Engler und Vines vorhatten. Für 150 Euro kauften sie die notwendigen Einzelteile, bauten das Gerät zusammen und modifizierten es so, dass der kleine Greifarm einen Smartphone-typischen Zeigestift samt Erdungskabel aufnehmen kann. Die Erdung ist notwendig, damit der Touchscreen überhaupt auf den Stift reagiert. Prinzipiell arbeite der Roboter laut Engler und Vines präzise genug, um auch auf einer Tastatur mit echten, aber kleinen Tasten zu tippen, wie sie viele Blackberry-Modelle mitbringen.

Ein Roboter wird nicht müde

Nach dem Bau der Maschine schrieben die Hacker eine Software, die den Roboter mit den einzugebenden Codes versorgt. Dabei arbeitet das Gerät nicht einfach stumpf alle Codes ab, angefangen bei 0000 bis hin zu 9999. Stattdessen arbeitet die Software die Ziffernfolgen in der Reihenfolge ihrer Wahrscheinlichkeit ab. Engler und Vines haben dazu vorhandene Untersuchungen wie beispielsweise die von Daniel Amitay ausgewertet, die sich mit dem menschlichen Vorgehen bei der Auswahl eines PIN-Codes befassen. Neben den Klassikern wie 1234, 0000 oder 9999 finden sich Zahlen mit den Anfangsziffern "19" weit oben auf der Liste. Offenbar nutzen Menschen gern ihr Geburtsjahr als PIN-Code.


Der Roboter benötigt pro Ziffernfolge lediglich etwas mehr als eine Sekunde, so dass er den Hackern zufolge in der Hälfte der Fälle bereits nach zirka 80 Minuten den richtigen PIN-Code gefunden hat. Nach knapp acht Stunden liegt die Trefferquote bei 80 Prozent. Diese Werte gelten jedoch nur für Android-Smartphones, die nach mehreren Fehlversuchen eine Zwangspause von 30 Sekunden einlegen. Apples iOS geht ähnlich vor, verlangsamt den Prozess jedoch durch immer länger werdende Pausen: Auf iGeräten liegt die Erfolgsquote des Roboters deshalb bei nur 20 Prozent - nach 20 Stunden.

Gute PINS, schlechte PINS

Die Hacker haben auch ein gutes Dutzend gängiger Apps unter die Lupe genommen, die einen eigenen PIN-Code verlangen. Dazu gehören beispielsweise Antivirus-, Notiz- oder Online-Banking-Apps. Resultat: Lediglich vier der Anwendungen sind nicht knackbar, alle anderen gaben sich dem Roboter geschlagen.

Um Angriffe dieser Art, die sich auf simples Durchprobieren stützen, zu kontern, bleiben Anwendern verschiedene Optionen. Im Gespräch mit SPIEGEL ONLINE gaben Justin Engler und Paul Vines einige grundlegende Tipps zum Umgang mit PIN-Codes:

  • Wann immer möglich, einen Mix aus Ziffern und Buchstaben verwenden. Das Knacken von lediglich vierstelligen Codes auf Android-Telefonen würde dann bereits mehrere hundert Jahre dauern, auf iOS noch erheblich länger.

  • Stehen nur Ziffern zur Verfügung, sind sich wiederholende Zahlen unbedingt zu meiden.

  • Auch Geburtsjahre stellen Angreifer vor keine Probleme.

  • Ziffernfolgen, deren Eingabe ein leicht nachvollziehbares Muster auf einer Telefontastatur erzeugt (beispielsweise die Linie 2, 5, 8, 0) stehen ebenfalls recht weit oben in der Liste der Cracker.

  • Ziffernkombinationen, die ein Wort ergeben wie beispielsweise LIEBE (5, 4, 2, 3), sind zu vermeiden.

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 47 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. nur für alte handys
spon_1804815 14.08.2013
Das ist wahrscheinlich die richtige Maschine für Leute die den Hut mit einem Kran aufsetzen oder zum Spielen das Klavier an den Stuhl rücken. Moderne Geräte haben übrigens eine Zeitsperre, d.h. nach 5maliger Falscheingabe verlängert sich die Zeit bis zur nächsten Falscheingabe beträchtlich. Aber ruhig weiter so, vielleicht reicht es ja für Jugend Forscht. Ansonsten hat der Automat das Niveau eines 5.Klässlers.
2. Meine SIM wird nach 3 falschen Eingaben gesperrt
etfreak 14.08.2013
was bringt mir da der Roboter?
3. Grade wenn man nur Zahlen hat...
goombasko 14.08.2013
...sollte man unbedingt doppelte Ziffern einsetzen. Anhand der Fettspuren auf dem Display sieht man sonst welche Ziffern durchzuprobieren sind. Man muss dann nur noch die richtige Reihenfolge austesten.
4. geht net
chr.reinhard 14.08.2013
neulich auf dem hinflug (!) aus versehen dreimal bank pin statt handypin eingegeben, handy ganzen urlaub unbrauchbar, da nun ein gewisser puk erfragt wurde und nichtmehr die pin
5.
Moewi 14.08.2013
Mal im Ernst: Wem soll die Spielerei nutzen, wenn schon nach der 3. PIN-Fehleingabe eine PUK-Eingabe (http://de.wikipedia.org/wiki/Personal_Unblocking_Key) fällig ist, und nach mehrmaligem falschen PUK die SIM-Karte ganz gesperrt wird?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Gadgets
RSS
alles zum Thema Smartphones
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 47 Kommentare
  • Zur Startseite


E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.