So unverwechselbar und einzigartig wie unsere Handschrift sind auch die Bewegungen, die wir auf unseren Touchscreens machen – das behauptet zumindest ein Forschungsteam der australischen Commonwealth Scientific and Industrial Research Organisation (CSIRO). Ein im April veröffentlichter Artikel (pdf) zeigt auf, dass diese Bewegungsdaten so individuell sind, dass sie eine genaue Wiedererkennung von Usern und damit eine Form des Trackings ermöglichen: „[M]it unserer Methodologie können wir User mit einer Erfolgsrate von über 90% re-identifizieren“.
Um herauszufinden, wie hoch der Informationsgehalt der individuellen Touch-Daten wirklich ist, wurde die Anwendung TouchTrack entwickelt, die jetzt auch in Googles PlayStore verfügbar ist. In die App wurden mehrere kleine Open-Source-Spiele eingebunden, die über typische Touchbewegungen funktionieren. Die so abgegriffenen Daten von insgesamt 89 Versuchspersonen wurden dann mathematisch auf ihre Eindeutigkeit (Uniqueness) hin untersucht.
Das Ergebnis: Schon wenige Samples einer einzelnen Bewegung (zum Beispiel das Wischen nach links über den Bildschirm) enthalten signifikante Informationen über den User. Je mehr Daten verschiedener Bewegungen vorliegen, desto besser können User wiedererkannt werden. Wischbewegungen und die Handschrift auf dem Bildschirm sind besonders eindeutig. Tippbewegungen oder das Schreiben auf einer Touch-Tastatur eher weniger.
Sind unsere Touch-Daten schutzbedürftig?
Daten über unsere sogenannten Touch-Events – also unsere individuelle Bedienung von Touchscreens über Bewegungen wie Wischen, Tippen, Zoomen oder die „Handschrift“ auf dem Display – sind über Programmierschnittstellen (APIs) einfach zugänglich. Diese Programmierschnittstellen sind vorprogrammierte Funktionen, die eine Verständigung zwischen Hard- und Software ermöglichen, also beispielsweise zwischen Anwendung und Touchscreen.
Dass die Informationen darüber, wo und wie wir unseren Touchscreen berühren, so einfach zugänglich sind, ist nicht verwunderlich. Ansonsten könnten wir nicht mit unseren Apps auf Smartphones oder Tablets interagieren. Jedoch erlauben einige APIs auch das Abgreifen sehr spezifischer Details, bei denen es fragwürdig ist, ob eine App nicht auch ohne diese Informationen gut funktionieren könnte.
Die Forschungsergebnisse sind gerade deshalb so interessant, weil Touch-Daten so einfach abgreifbar sind und im öffentlichen Diskurs um Tracking und Privacy bisher wenig beachtet werden. Die Forscher weisen in ihrem Artikel auf eine Reihe von Besonderheiten und Risiken dieser Daten und des auf ihnen basierenden Trackings hin (eigene Übersetzung):
Im Vegleich zu „üblichen“ Tracking-Mechanismen, z.B. basierend auf Cookies, Browser-Fingerprints, Browser-User-Agents, Log-Ins und IP-Adressen, gibt es mehrere Faktoren, die das Tracking basierend auf Touch-Informationen potenziell riskanter machen. Während die anderen Mechanismen virtuelle Identitäten wie Online-Profile tracken, birgt „touch-based tracking“ das Potenzial, die eigentliche (physische) Person am Gerät zu tracken und zu identifizieren. Es kann mehrere User, die das gleiche Gerät verwenden, tracken und unterscheiden. Weiterhin erlaubt es das kontinuierliche Tracking von Usern und führt zum „cross-device tracking“, durch das ein User potenziell über mehrere mobile Geräte verfolgt werden kann.
Hassan Jameel Asghar stellte die Arbeit kürzlich im Rahmen eines Vortrags auf dem diesjährigen Privacy Enhancing Technologies Symposium vor (ab 2:45:00).
schade, ich finde keinen verweis auf den quelltext der app … weder im artikel noch im pdf. schade.
Sobald die Leute ordentlich Theater, Tanz und Schauspielerei gelernt haben ist das doch alles Humbug. Sprich die kriegen ja schon heute nur die …. Man muss aber zum Schutz der Bürger-Rechte sagen:
Das ist meine Maus-Zeiger, Präsentation-Marker, Wischbewegungen, und die hat genauso niemand ohne Tatverdacht zu observieren oder ohne meine Einwilligung für eigene Zwecke zu nutzen und wenn ist’s, wie immer, ein massiver Eingriff in die Privatsphäre.
Ansonsten kann ich alte Kung-Fu- und Charly Chaplin -Filme fürs Bewegungs-Training empfehlen. Lest auch noch mal was von Shakespear – es kann spätestens seit dem nämlich jedes Kind heulen ohne traurig zu sein.
#MyMousePointer
Alle nur noch mit Tails USB-Stick ins Internet gehen. Security Settings auf Safest stellen.
Das erinnert mich sehr an http://bfp.henning-tillmann.de/
Fingerprinting anhand des Browsers, z.B. über die installierten Schriftarten. Jetzt wird deine Handbewegung als persönliche Schriftart angesehen.
Der Artikel passt ja vom Timing her super zu https://security.stackexchange.com/questions/190934, denn unter Android kann jede App jederzeit mitschnüffeln, wann der Benutzer den Bildschirm berührt. (Das Wo bekommt sie zum Glück nicht mit.) Das funktioniert auch im Hintergrund, und sogar auf dem Loginbildschirm.