Sicherheit von Fingerabdrucksensoren: Es sind erhebliche Zweifel angebracht!
Fingerabdruckscanner sind eine praktische Angelegenheit: Ihr legt Euren Finger auf diesen und schon entsperrt sich das Smartphone - zumindest, wenn es einen bekannten Abdruck erkennt. Ein Fall in den USA zeigt: Die aktuellen Sensoren lassen sich überlisten und die Software tut ihr Übriges, um das Vertrauen in die Fingerabdruckscanner zu erschüttern.
The Verge berichtet von einem Fall, in dem Forscher das Smartphone eines Mordopfers entsperrt haben. Und zwar mit einem nachgemachten Fingerabdruck. Der Clou: Die Forscher probierten verschiedene Wege aus, den Fingerabdruck des Opfers zu klonen und das Phone zu entsperren. Unter anderem auch mit Equipment, das einen Wert von rund 800.000 US-Dollar hatte. Tatsächlich hat aber eine Methode funktioniert, die im Prinzip mit einem handelsüblichen Drucker und ein bisschen Handarbeit umzusetzen ist.
Smartphone macht es Angreifern zu einfach
Eines der größten Probleme war: Die Forscher hatten natürlich direkten und unbegrenzten Zugang zu dem fraglichen Smartphone, einem Samsung Galaxy S6. Das große Sicherheitsproblem: Selbst nach vielen gescheiterten Versuchen war der Fingerabdruckscanner nicht deaktiviert, sondern ließ weitere Erkennungsversuche zu. So hatten die Forscher genügend Zeit, ihren gefälschten Fingerabdruck zu optimieren, bis das Smartphone diesen anstandslos akzeptierte.
Auf einem Samsung Galaxy S7 und einem Nexus 5X konnten wir das gleiche Verhalten beobachten: Selbst nach vielen fehlgeschlagenen Versuchen konnten die Smartphones immer noch mit dem richtigen Finger entsperrt werden. Zwar gab es einige kurze Sperren von 30 Sekunden, danach war aber wieder alles normal. Es ist erstaunlich, dass die Hersteller hier keine höheren Hürden einziehen: Immerhin gibt es zum Fingerabdruck ja stets einen Backup-Code, der alternativ einsetzbar ist.
BlackBerry stellt Sicherheit der Sensoren infrage
Angesichts der vielfältigen Möglichkeiten, aktuellen Scannern einen gefälschten Abdruck unterzujubeln, erscheint es ganz vernünftig, dass beispielsweise BlackBerry sagt, dass man derzeit nicht von der Sicherheit der verfügbaren Sensoren überzeugt sei. Daher sei im BlackBerry DTEK50 auch kein Fingerabdrucksensor integriert.
Würde aber beispielsweise ein Smartphone nach drei Versuchen konsequent einen fünfstelligen Code oder ein Passwort verlangen, wäre das Problem schon deutlich reduziert: Wer immer versucht, das Smartphone zu entsperren, hätte dann nur drei Versuche. Vollständige Sicherheit gewährt freilich auch dies nicht, aber die Hürde wäre erheblich höher.
Neue Technologien wie zum Beispiel der Iris-Scanner des Galaxy Note 7 versprechen eine höhere Sicherheit. Dafür kommt jedoch ein aktiver Infrarot-Scan zum Einsatz. Und die Iris ist biometrisch betrachtet komplexer als ein Fingerabdruck. Aktuell haben Iris-Scanner aber Probleme, wenn Brillen- oder Kontaktlinsenträger diesen verwenden möchten.
Aber wie sollten User derzeit mit einem Fingerabdrucksensor umgehen? Verwenden? Nicht verwenden? Ich sehe es so: Im Alltag ist die Funktion so praktisch, dass ich den Zeitgewinn trotz der offenkundigen Sicherheitsprobleme weiter verwende. Wenn auf meinem Smartphone wirklich vertrauliche Daten lagern würden, dann würde ich dem Fingerabdruck nicht mehr trauen.
Wie regelt Ihr die Sicherheit auf Eurem Smartphone? Erfreut Ihr Euch am Komfort eines Fingerabdrucksensors oder setzt Ihr auf einen sicheren Sperrmechanismus wie ein Passwort? Schreibt es in die Kommentare!
Quelle: The Verge
WindowsPhones hatten bereits noch zu ihren "Lebzeiten" den Irisscanner, der trotz Brille immer schnell und sicher funktioniert hat.
Ich habe mein Lumia 950 immer noch in der Schublade und kann es mittels Irisscan noch wunderbar entsperren.
Also bitte nicht staunen, dass jetzt irgendein ein GalaxyNote auch einen Irisscan hat...alter Schnee....😂
Ich habe die Sicherheitssoftware von Eset auf meinem s5 diese Software sperrt das S5 nach 5 fehlversuchen ubd fordert das Esetpasswort an. Macht also genau das was oben im Bericht gefordert wird. Wenn auch erst nach fünf statt nach drei Versuchen
Und jetzt der Pinn kann einfach abgeschaut werden. Und ich glaube ein Dieb versucht einfach die Daten zu reseten und fertig. Also so eine Arbeit macht sich doch keiner. Also zumindestens beim durchschnittlichen Menschen. Sowas kann einen Interesieren wenn man Politiker ist oder sensible Daten einer großen Firma auf dem Smartphone hat.
Also bei Android 6.01 auf meinem S6 sperrt sich der Fingerabdrucksensor automatisch nach 24 h der nicht Benutzung des Geräts. Danach wird, je nach dem was der Nutzer als Alternative angelegt hat, Muster, Pin oder Passwort benötigt um das Gerät zu entsperren. Auch gibt es keine endlosen Versuche bei der Eingabe des Fingerabdrucks. Bei 5 maligen fehlgeschlagen Versuchen, werden Timeouts gesetzt, welche sich steigern (Standart Einstellung). Zusätzlich kann durch den Benutzer in den Einstellung, die Versuche auf 15 Fehlersuche begrenzt werden. Anschließend wird das Gerät auf Werkseinstellung gesetzt und alle Benutzerdaten gelöscht.
Meiner Meinung nach, hätte die Polizei bei dem Mordfall weder die Möglichkeit mehr gehabt den Fingerabdrucksensor zu benutzen, noch unendlich viele Versuche gehabt diesen zu knacken.
Da mutmaßlich, die 24 h Frist hier eine Benutzung ausgeschlossen hätte.
Wieso wurden diese a Absicherungen des Timeouts, des Löschens nach 15 Versuchen und der 24h Frist mit keinem Wort erwähnt!
Weil der polizei,der nsa, cia oder fbi ganz andere möglichkeiten als einem normalsterblichen zur verfuegung stehen.ev. auch codes der hersteller zum aushebeln der beschränkungen
Habe überhaupt keine Sperre aktiviert. Wenn jemand von der Familie oder Freundeskreis mein Phone benutzen möchte kann er es einfach machen. Habe nichts drauf was andere nicht sehen dürfen. Ist auch bei anderen in der Familie so .
Keine Neuigkeit
http://www.heise.de/security/meldung/CCC-publiziert-die-Fingerabdruecke-von-Wolfgang-Schaeuble-Update-193732.html
http://www.heise.de/security/meldung/31C3-CCC-Tueftler-hackt-Merkels-Iris-und-von-der-Leyens-Fingerabdruck-2506929.html
Außerdem sind die Fingerabdrücke bei privaten Firmen in den USA gespeichert. Ein lohnendes Ziel für Hacker in der Zukunft, um Zugangssysteme zu überlisten. Wie schwach selbst Weltkonzerne ihre IT absichern, sollten die Vergangenheit gezeigt haben.
Hast du nicht zufällig vergessen, auch noch die NSA zu erwähnen? Das ist momentan doch auch sehr beliebt ;-)
Die NSA brauche ich nicht zu erwähnen, solange wir wie die Lemminge immer mehr persönliche Daten privaten Unternehmen - insbesondere im Ausland - geben.
Das stimmt so nicht. Die biometrischen Daten werden gehasht gespeichert bzw weiterverarbeitet.
Es ist wesentlich leichter an einen pincode ranzukommen alls den fingerabdruck oder irisscanner zu ueberlisten.
Lange genug am fingerabdruck rumdoktern dann kommt die pinabfrage und dann kann man loslegen.
Uebrigens sensieble daten gehoeren nicht auf das smartphone.
Pincodes vom smartphone auf dem computer besser noch bei einem kollegen gespeichert wirkt ware wunder
Solange das mit dem Fingerabdruck nicht besser wird, werde ich vorerst darauf verzichten. Ich nutze einen pin code, der nach einem mir bekannten Muster wechselt, dazu kommt das mein Menü so Gestaltet ist das ein Außenstehender es sehr schwer hat was zu finden. Habe das ganze an meiner Schwester ausprobiert, nach 5 min gab sie auf.
Wir tun so, als ob wir einen möglichst dämlichen Standpunkt vertreten würden;
diesen verkaufen wir dann als unsere "Meinung", nur um eine möglichst hitzige Diskussion herausfordern zu können.
Willkommen bei AndroidPIT.
Sagt mal, habt ihr nicht gesagt, dass ihr...?
Und ich verstehe nicht mal, was ihr mit so einer Taktik überhaupt erreichen wollt.
Was man mit so einer Taktik erreichen möchte? Man könnte sich z.B. viele Klicks/Seitenbesucher ergaunern, um dadurch Geld zu verdienen.
"Sagt mal, habt ihr nicht gesagt, dass ihr...?" - Meinst du das hier:
Zitat: "Wir haben viel vor und wollen AndroidPIT in Sachen QUALITÄT wieder viele Schritte nach vorne bringen".
https://www.androidpit.de/hallo-androidpit-da-bin-ich-wieder
Ergaunern ist aber etwas hart ausgedrueckt!
Androidpit ist doch auf einnamen angewiesen. Und von uns kommen diese ja wohl nicht.
Reisserische ueberschriften nuetzen doch auch uns, sonnst muessten wir etwas bezahlen jedesmal wenn wir uns einlogen.
Ist im grund doch egal was in der ueberschrift steht sollange der zweck des artikels ersichtlich ist.
Das kann man alles auch mit seriösen Überschriften erreichen.
Möglicherweise hätte dieses Magazin dann sogar eine noch größere Leserschaft, hätte einen noch besseren Ruf und könnte somit noch mehr Geld durch Werbeeinnahmen verdienen. Qualität zahlt sich nunmal aus, aber das scheint einigen nicht bewusst zu sein.
Es sind "ERHEBLICHE Zweifel" angebracht??? Weil FORSCHER in EINEM einzigen MORDFALL den Sensor (angeblich) überlisten konnten???
Ganz im Ernst: das ist hier doch entweder ein Satire-Magazin oder aber Menschenverdummung in Perfektion.
Hans-Georg Kluge, begründe und erläutere doch bitte die vermeintlich "ERHEBLICHEN Zweifel", damit dieser Artikel nicht in die weltweiten Top 10 der Lächerlichkeiten aufsteigt. Eine Begründung für die hanebüchene Behauptung in der Überschrift ergibt sich aus dem Artikel jedenfalls nicht.
Das es selbst Forschern mit einem Equipment im Wert von (angeblich) 800.000 $ zunächst nicht gelang, den Sensor zu knacken, beweist doch vielmehr, wie sicher diese Fingerabdruck-Sensoren sind!
Jeder Otto-Normal-Dieb/Räuber/Hehler/Hacker wird sich daran die Zähne ausbeißen, es sei denn, er hat dem rechtmäßigen Handy-Eigentümer auch gleich noch einen Finger abgeschnitten und diesen mitgenommen.
Ich wäre mir nicht so sicher, dass der Sensor so schwer zu knacken ist.
In dem unten verlinkten Video braucht man kein Equipment für 800.000 $, ich würde sagen, 80 € reichen, wenn man einen guten Drucker und ein Smartphone mit vernünftiger Kamera schon hat. Wer selber schon mal Leiterplatten geätzt hat, der weiß, dass zum Entwickeln und Ätzen der mit Fotoresist beschichteten Leiterplatten, die es im Elektronikhandel gibt, absolut handelsübliche Chemikalien reichen, die man im Drogeriehandel oder der Apotheke bekommt. Mir sind diese Chemikalien bekannt, aber es tut nichts zur Sache, sie hier zu nennen. Statt der im Video gezeigten UV-Belichtungsanlage reicht in der Regel auch eine starke Glühlampe oder besser eine Leuchtstofflampe wie z.B. eine Energiesparlampe, bei entsprechend längerer Belichtung.
Die größten Probleme der im Video dargestellten Methode dürften sein, einen kontrastreichen Fingerabdruck auf sauberem Untergrund zu finden, und in einer Bildverarbeitung ein kontrastreiches Schwarz-Weiss-Bild korrekter Größe (kann aus dem Original-Fingerabdruck ermittelt werden) daraus zu machen.
Hat man das an einem legal erworbenem Gerät eingeübt, kann aber schon der erste Versuch mit der künstlichen Haut gelingen.
Letztlich wird mit dem Holzleim eine zweite Haut erzeugt, die statt der eigenen Haut die passende kapazitive Ableitsignatur erzeugt.
https://srlabs.de/bites/spoofing-fingerprints/
@Mods und Redaktion: Das Video, bzw. die Seite, auf der es zu finden ist, ist auch durch die Seite von Heise verlinkt, ähnliche Videos finden sich massenweise im Netz. So sind bei Youtube auch Verfahren mit Wachs und Latexfarbe thematisiert.
http://m.heise.de/security/meldung/Fingerabdrucksensor-des-iPhone-6-ueberlistet-2399891.html
(auf SRlabs tippen)
Thematisiert wurde eine ähnliche Methode der Entsperrung, wenn auch nicht so ausführlich, auch schon in einem "Tatort"
("Das verkaufte Lächeln", Leitmayr, Batic).
Um nun zum Artikel zurückzukommen: Ich muss dem Autor recht geben. Wirklich sicher kann man das Prinzip des Fingerabdrucksensors nun leider nicht mehr nennen, für viele einfache Sicherungsaufgaben, wie die Entsperrung des Geräts (falls das Gerät mal kurze Zeit unbeaufsichtigt ist), sollte er aber immer noch eine hinreichende Barriere sein. Sensiblere Daten sollten aber zusätzlich geschützt werden, z.B. durch einen Datentresor. Onlinebanking wird in der Regel ohnehin durch eine Zweifaktor-Authentifizierung abgesichert (z.B. Pin und Tan).
In dem Zusammenhang kann ich eine, am besten zusätzlich aktivierbare, Iriserkennung eigentlich nur gutheißen.
Nachtrag: Noch was zu dem Thema:
http://www.zdnet.de/88190815/deutsche-forscher-ueberlisten-fingerabdruckscanner-des-samsung-galaxy-s5/
Quellen: m.heise.de, srlabs.de, ARD (Bayerischer Rundfunk), www.zdnet.de
Es ist natuerlich auch praktisch wenn mann die anleitung dazu bei androidpit nachlesen kann.
@Michael K.:
Das hört sich ja alles unheimlich spannend und einfach an, aber wo der entscheidende Fehler in diesen Überlegungen liegt, hast du selber geschrieben:
"Die größten Probleme der im Video dargestellten Methode dürften sein, einen kontrastreichen Fingerabdruck auf sauberem Untergrund zu finden".
Genau das wird dem Nutzer eines entwendeten Gerätes nicht gelingen. Es ist nahezu ausgeschlossen, einen Fingerabdruck auf dem Gerät zu finden, der so deutlich ist, dass er dazu geeignet wäre, ihn zu duplizieren. Und ein Handydieb wird wohl kaum die komplette Wohnung des rechtmäßigen Eigentümers nach Fingerabdrücken absuchen und diese dann auch noch mit entsprechenden Gerätschaften sichern können.
Selbst wenn man einen guten, sehr deutlichen Fingerabdruck auf dem Gerät findet, dann müsste der Dieb zusätzlich verdammt großes Glück haben, dass es sich dabei auch um einen Fingerabdruck handelt, der zum Entsperren des Gerätes registriert ist. Was nützt ihm z.B. der Abdruck eines Zeigefingers, wenn der Eigentümer nur die beiden Mittelfinger im Gerät abgespeichert hat?! Was in dem von dir verlinkten Video gezeigt wird, ist vielleicht rein theoretisch möglich, in der Praxis eines Kriminellen jedoch überhaupt nicht umsetzbar.
Hier von "erheblichen" Zweifeln an der Sicherheit von Fingerabdrucksensoren zu sprechen, ist jedenfalls eine bodenlose Frechheit und schnöde, billige Panikmache. Was hier durch einige Magazine und Blogs in die Welt gesetzt wird, kann man auch gerne in die Kategorie der Verschwörungstheorien stecken. Nun gut, es gab ja schon immer Wichtigtuer, die sich mit solchen Berichten und Videos ins Rampenlicht stellen wollten.