Automatischer Hacker-Helfer Dieser Roboter knackt PIN-Codes
Roboter als Codeknacker: Schneller und ausdauernder als ein Mensch
Foto: Uli RiesJustin Engler und Paul Vines verdienen ihren Lebensunterhalt mit dem Knacken von Soft- und Hardware. Allerdings nicht im Untergrund, sondern im Auftrag von Herstellern oder Nutzern der Produkte. Ihr Job ist es, Schwachstellen aufzudecken, damit sie behoben werden, bevor Kriminelle sie ausnutzen.
Um diese Aufgabe erledigen zu können, müssen sie regelmäßig PIN-Codes zum Entsperren von Telefonen beziehungsweise darauf installierten Apps umgehen. Nachdem die Eingabe zigtausender mehrstelliger Codes von Hand nicht nur unfassbar eintönig, sondern auch sehr zeitaufwendig ist, machten sich die Hacker auf die Suche nach einer Alternative - und stießen auf ein Roboterprojekt im Internet.
Der knapp 30 Zentimeter hohe und auf spinnenartigen Beinen stehende Roboter, den sie fanden, war ideal geeignet für das, was Engler und Vines vorhatten. Für 150 Euro kauften sie die notwendigen Einzelteile, bauten das Gerät zusammen und modifizierten es so, dass der kleine Greifarm einen Smartphone-typischen Zeigestift samt Erdungskabel aufnehmen kann. Die Erdung ist notwendig, damit der Touchscreen überhaupt auf den Stift reagiert. Prinzipiell arbeite der Roboter laut Engler und Vines präzise genug, um auch auf einer Tastatur mit echten, aber kleinen Tasten zu tippen, wie sie viele Blackberry-Modelle mitbringen.
Ein Roboter wird nicht müde
Nach dem Bau der Maschine schrieben die Hacker eine Software, die den Roboter mit den einzugebenden Codes versorgt. Dabei arbeitet das Gerät nicht einfach stumpf alle Codes ab, angefangen bei 0000 bis hin zu 9999. Stattdessen arbeitet die Software die Ziffernfolgen in der Reihenfolge ihrer Wahrscheinlichkeit ab. Engler und Vines haben dazu vorhandene Untersuchungen wie beispielsweise die von Daniel Amitay ausgewertet, die sich mit dem menschlichen Vorgehen bei der Auswahl eines PIN-Codes befassen. Neben den Klassikern wie 1234, 0000 oder 9999 finden sich Zahlen mit den Anfangsziffern "19" weit oben auf der Liste. Offenbar nutzen Menschen gern ihr Geburtsjahr als PIN-Code.
Der Roboter benötigt pro Ziffernfolge lediglich etwas mehr als eine Sekunde, so dass er den Hackern zufolge in der Hälfte der Fälle bereits nach zirka 80 Minuten den richtigen PIN-Code gefunden hat. Nach knapp acht Stunden liegt die Trefferquote bei 80 Prozent. Diese Werte gelten jedoch nur für Android-Smartphones, die nach mehreren Fehlversuchen eine Zwangspause von 30 Sekunden einlegen. Apples iOS geht ähnlich vor, verlangsamt den Prozess jedoch durch immer länger werdende Pausen: Auf iGeräten liegt die Erfolgsquote des Roboters deshalb bei nur 20 Prozent - nach 20 Stunden.
Gute PINS, schlechte PINS
Die Hacker haben auch ein gutes Dutzend gängiger Apps unter die Lupe genommen, die einen eigenen PIN-Code verlangen. Dazu gehören beispielsweise Antivirus-, Notiz- oder Online-Banking-Apps. Resultat: Lediglich vier der Anwendungen sind nicht knackbar, alle anderen gaben sich dem Roboter geschlagen.
Um Angriffe dieser Art, die sich auf simples Durchprobieren stützen, zu kontern, bleiben Anwendern verschiedene Optionen. Im Gespräch mit SPIEGEL ONLINE gaben Justin Engler und Paul Vines einige grundlegende Tipps zum Umgang mit PIN-Codes:
- Wann immer möglich, einen Mix aus Ziffern und Buchstaben verwenden. Das Knacken von lediglich vierstelligen Codes auf Android-Telefonen würde dann bereits mehrere hundert Jahre dauern, auf iOS noch erheblich länger.
- Stehen nur Ziffern zur Verfügung, sind sich wiederholende Zahlen unbedingt zu meiden.
- Auch Geburtsjahre stellen Angreifer vor keine Probleme.
- Ziffernfolgen, deren Eingabe ein leicht nachvollziehbares Muster auf einer Telefontastatur erzeugt (beispielsweise die Linie 2, 5, 8, 0) stehen ebenfalls recht weit oben in der Liste der Cracker.
- Ziffernkombinationen, die ein Wort ergeben wie beispielsweise LIEBE (5, 4, 2, 3), sind zu vermeiden.
