Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.
Galaxy S5: Fingerabdruck-Scanner gehackt - mal wieder
Samsung Galaxy S5 Hardware Samsung 2 Min Lesezeit 65 Kommentare

Galaxy S5: Fingerabdruck-Scanner gehackt - mal wieder

Skandal! Der Fingerabdruck-Scanner des Galaxy S5 hat sich nun als genau so wenig unüberwindbar erwiesen, wie einst der des iPhone 5s. Die Methode ist die gleiche, die Sicherheitsimplikationen sind jedoch etwas weitreichender.

s5 scanner hack
© Samsung, Apple, AndroidPIT

Als vor einem halben Jahr Mitglieder des Chaos Computer Club auf recht realitätsferne Art und Weise den Fingerabdruck-Scanner des iPhone 5s geknackt und es als große, unerwartete Enthüllung verkauft hatten, konnte ich mir den Sarkasmus nicht verkneifen (zum Artikel). Wer ernsthaft dachte, dass diese Technologie unüberwindbar sei, der muss sich eben einfach den Vorwurf der Naivität gefallen lassen.

Nun hat den Scanner des Galaxy S5 das gleiche Schicksal ereilt, und wieder sind wir zutiefst unüberrascht. Apples TouchID ließ sich durch einen gebastelten Fingerabdruck überlisten, der einigen Aufwand erforderte (das hochauflösende Fotografieren und Laserdrucken eines echten Abdrucks und das darauffolgende Herumkleistern mit hautfarbener Latexmilch oder weißem Holzleim). Die gleiche unpraktische Methode überlistet auch Samsungs Scanner, mit anderen Worten, die Koreaner haben von Apple nicht lernen wollen oder können.

Link zum Video

Was die Sache im Fall von Samsung etwas problematischer macht: Das Bezahlen via PayPal erfordert auf dem Galaxy S5 kein Passwort, sondern nur den Fingerabdruck. Apple fragt hier immerhin periodisch noch ein Passwort ab, vor allem dann, wenn die App länger nicht verwendet wurde. Mit anderen Worten: Wer erst mal den Scanner überlistet hat, hat auch PayPal überlistet. Ein Video von SRLabs zeigt, wie es funktioniert.

Wieder ist die Erinnerung fällig: Fingerabdruck-Scanner sind in erster Linie Komfort- und nicht Sicherheits-Features, auch wenn Apple, Samsung und dergleichen es selbstverständlich anders verkaufen. Und 99 Prozent aller Smartphone-Diebstähle erfolgen zum Zwecke des Zurücksetzens und/oder Weiterverkaufens. Kein Dieb hat vor, sich einen netten Dia-Abend mit unseren privaten Fotos zu machen oder peinliche Statusupdates bei Facebook zu posten. Das Problem mit PayPal ist da schon realer, und man sollte sich eventuell fragen, ob Finanztransaktionen nicht auch weiterhin zusätzlich passwortgeschützt bleiben sollten. Komfort kann am Ende eben auch gefährlich sein.

Dank ist diese Seite frei von Werbebannern

65 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Stefan K.

    Der Abdruckscanner von Apple ist auch schon ausgetrickst worden!!!


    •   37
      Gelöschter Account 22.04.2014 Link zum Kommentar

      Und was sagt mir diese mir schon bekannte Information? Erstens wird ein Handy sofort gerootet und dieses Unding unwirksam gemacht und zweitens gibt es keinen Menschen auf Erden der mein Handy knacken muss.


  • Mal wieder an die Samsung Hater mit ihren sinnlosen Kommentaren:
    Es liegt nicht an Samsung oder Apple, dass der Fingerabdruckscanner ausgetrickst worden ist!
    Jeder Abdruckscanner kann mit einer guten Kopie eines Abdrucks ausgetrickst werden!
    Kein Sicherheitssystem kann 100%ige Sicherheit garantieren!
    Und jeder der das nicht wahrhaben will ist nicht nur naiv sondern auch dumm!!!


  • "...Als vor einem halben Jahr Mitglieder des Chaos Computer Club auf recht realitätsferne Art und Weise den Fingerabdruck-Scanner des iPhone 5s geknackt und es als große, unerwartete Enthüllung verkauft hatten..."

    Naja, weder wurde es vom CCC an die große Glocke gehängt, noch finde ich es
    realitätsfern, wenn man mit Mitteln, die JEDER leicht benutzen kann, ein Sicherheits-
    system überwinden kann.

    Biometrische Sicherheitssysteme sind der größte Schwachsinn.
    Es gibt keinen ernstzunehmenden Sicherheitsbereich, der alleine darauf setzen würde.

    Wenn es die Medien damals ausgeschlachtet haben, dann war es doch mal was
    positives.
    Dadurch haben viele erst erfahren, wie schwachsinnig solche Dinge sind.

    Die Frage ist doch, wenn es so schwachsinnig ist, wer könnte Interesse an
    Biometrischen Daten haben...
    Ach ich vergaß, die Daten werden ja nur lokal abgespeichert...


  • Vielleicht wäre es vernünftiger, wenn Samsung auf Handvenen-Scanner setzen würde.


  •   32
    Gelöschter Account 16.04.2014 Link zum Kommentar

    Mein Lockenwickler ist auch kaputt :-( Zum gibts den tipp-Zauber


  • Ich finde im übrigen auch, daß AndroidPit recht langsam ist, im Gegensatz zu anderen Seiten. Und das nicht nur gelegentlich.

    Man sollte sich vielleicht mehr auf wirkliche News beschränken, anstatt andauernd irgendwelche pseudointelligenten philosophischen Beiträge zuzverfassen.
    Hier will ich Android News und App Empfehlungen lesen, und nichts anderes.

    Da manche News aber dann doch nur hier zu lesen sind, und ich bestimme Tutorials und App Empfehlungen ganz gut finde, bleibe ich hier, abwohl mich auch wieder einiges nervt.
    (nur so nebenbei, bevor es heißt dann hau doch ab...)


  • Das S5 ist das reinste Drecksphone.Bei der Optik haben die Null Bock gehabt.
    Jetzt heißt es warten aufs S6.


  • mensch, was ne panikmache... man kann alles knacken...


  •   38
    Gelöschter Account 16.04.2014 Link zum Kommentar

    Samsung ist einfach lächerlich plastik Pentile touchwiz und dieser möchtegernschutz.

    Icke


  • wider mal bullshit von Samsung...


  • Der Schuss Ironie hat Stephan doch mit...mal wieder ,eindeutig gesetzt.Für mich war jedenfalls da schon klar das ich mir ein weiter lesen ersparen kann.Eigentlich wäre der Artikel hier auch schon fertig gewesen wenn man wüsste das jeder hier auf dem Stand dieser Information steht...der vergangenen und der aktuelle.Davon kann er aber nicht ausgehen.


  • Okay das nehme ich gerne zur Kenntnis.
    Ihr sucht euch die Themen bewusst aus und ignoriert andere...
    Die zu erwartende Sicherheitslücke des Samsung Scanner ist eben einen Bericht Wert. Wo hingegen natürlich eine Sicherheitslücke, welche alle Android Smartphones betrifft ignoriert werden kann.
    Das könnte man schon fast als Zensur auslegen.
    Aber gut, ich habe fälschlicherweise erwartet das ein Blog der Android im Namen trägt, mehr über Android berichtet als ein allgemeiner Technik Blog.
    Sorry war eindeutig mein Fehler.


  • @ Stephan Serowy
    Das "überraschend" galt auch nicht dem Artikel sondern einigen Nutzern/Usern.
    Ein Fingerabdruck ist genauso fälschbar wie eine Unterschrift, Zeit, Kreativität und bestimmte Utensilien vorausgesetzt!
    100%ige Sicherheit gibt es einfach nicht, aber scheinbar glauben immer noch jede Menge naive Menschen daran!
    Und das ist es, was mich so überrascht!


  • Was hat das Materialistische kopieren eines fingerabdruckes mit hacken zu tun? So lässt sich jeder einfache Abdruckscanner "austricksen". Hacken wäre bei mir eine digitale Kopie oder den Scanner so umprogrammieren das es jeden Abdruck als den richtigen annimmt. Reißerische Überschrift und dann doch am Thema vorbei. .


  •   23
    Gelöschter Account 16.04.2014 Link zum Kommentar

    Das der Fingerabdruck-Scanner gehackt werden würde, war bloß eine Zeitfrage. Das Phone via Fingerabdruck-Scanner zu sichern, ist okay. Das PayPal Konto so zu sichern, ist fahrlässig.
    Eines ist jedoch klar Kriminalität wird weder an Samsung PayPal oder Apple scheitern.


  • Ich finde das ganze aber nicht wirklich überraschend!
    Ist doch völlig normal, dass man mit einem gut nachgemachten Fingerabdruck des Nutzers einen Fingerabdruckscanner überlisten kann!
    Das funktioniert beim Rechner mit demselbigen genauso!
    Leben denn alle hinter dem Mond?


  • War ja klar dass noch so ein Artikel nachgereicht wird als ob es eine Überraschung wäre, vor allem heutzutage wo man weiss das nichts und kein Passwort wirklich sicher ist


    • @Jürgen K.: Wenn du den Artikel gelesen hättest (und nicht nur den halben TItel, denn selbst in dem ist es angedeutet), wüsstest du, dass wir es eben NICHT als Überraschung sehen und es nicht als solche darstellen - im Gegenteil!


      • stell Dir vor, ich habe den Artikel gelesen,
        was ich eigentlich meinte war, dass der Artikel höchstens eine Randnotiz wert gewesen wäre


  • @stephan Na weil ich auch den Bericht über den geknackten Fingerabdruck Scanner auch schon vor 2 Tagen bei Heise gelesen habe :-D
    Davon abgesehen, als Android Forum erwarte ich einfach so etwas auch hier zu lesen, evtl sogar mit mehr Hintergrund Informationen.


    • @Thomas Stern: Und weil du einen Artikel doppelt gelesen hast (warum auch immer), willst du jetzt auch noch einen anderen doppelt lesen? Müssen wir das verstehen? :)

      Es kommt bei uns, wie bei allen anderen Magazinen und Blogs, zwar gelegentlich vor, dass wir mal ein Thema verpassen, in der Regel suchen wir uns unsere Themen aber bewusst aus und ignorieren andere.


  • der Scanner ist ein Grund mehr so ein Smartphone nicht zu kaufen! niemanden geht mein Finger Abdruck etwas an. Daher wird jeder Geheimdienst und andere Leute die was böses vor haben leicht an diesen ran kommen. Nein danke !!!


    •   26
      Gelöschter Account 17.04.2014 Link zum Kommentar

      Du musst ihn ja nicht nutzen.
      Zumindest nicht zum bezahlen.
      Er ist sicherer als die Gesichterkennung.

      Geheimdienste kommen auch so an deine Fingerabdrücke... ;-)


  • oh ja, mein phone fällt bestimmt dem IMF in die hände, und tom cruise lässt sich von denen dann einen abdruck erstellen... ganz ehrlich... woher soll ein dieb ein hochauflösendes bild deines fingers haben? ^^


    • Vielleicht weil Du Fingerabdrücke auf dem Handy hinterlässt ? Nur so eine Idee.


      • naja, und wenn... trotzdem viel zu umständlich.


      •   26
        Gelöschter Account 17.04.2014 Link zum Kommentar

        Und wenn das doch jemand macht, weil sich Bezahlen mit PayPal ja richtig lohnen kann,
        dann hast du den ganzen Ärger und niemand glaubt dir, "weil viel zu umständlich"...


  • solche Features sollten gesetzlich verboten werden solange eine solche Umgehung möglich ist


    •   26
      Gelöschter Account 16.04.2014 Link zum Kommentar

      So lange nicht dein DNA im Handy analysiert wird, ist alles umgehbar. ;-)


      • Äh, und was soll daran sicher sein. - Du hinterlässt dreimal mehr
        DNA-Spuren, als Fingerabdrücke... :-) ;-)

        Gelöschter Account


      •   26
        Gelöschter Account 17.04.2014 Link zum Kommentar

        Dann muss man jede Art von biometrischer Zugangskontrolle verbieten. :-)


  •   37
    Gelöschter Account 16.04.2014 Link zum Kommentar

    Hat jemand zufällig eine Kopie meines Fingerdrucks auf Holzleim? Habe meinen verloren und komme nicht mehr ins Handymenü.

    Resümee: Paypal war mir schon immer suspekt. Jetzt da die app sich so schnell austricksen lässt ist das ein weiterer Grund nicht auf Paypal zu setzen. Meine Sfinanz verlangt 2 mal verschiedene Passwörter. Einmal einen um die App zu öffnen. 12 stellig und einmal um das Konto selbst abzugleichen 5 stellig.

    Icke


    •   26
      Gelöschter Account 16.04.2014 Link zum Kommentar

      Das liegt nicht an PayPal, sondern daran, dass Fingerabdruckscanner eine absolute Sicherheit vortäuschen, wo in Wirklichkeit gar keine ist.

      Das ist sogar noch schlimmer, als ein Passwort 123456. Weil da kann man ja noch nicht mal behaupten, dass man ausgetricks wurde, weil ein Fingerabdruck als sicher gilt.

      Und Schuld ist Apple, weil die - wider besseren Wissens - mit dem Mist angefangen haben und es abzusehen war, dass dann andere Hersteller nachziehen. Warnungen gab es mehr als genug.


    • Da schau her..

      Doch spannender als ein umgefallener Sack Reis!


    • Wo der Mann recht hat, hat er recht.
      Keine Ahnung warum viermal Daumen runter...
      Erleuchtet mich.

      Gelöschter Account


      •   37
        Gelöschter Account 17.04.2014 Link zum Kommentar

        Es gibt da keinen rationalen Grund der dieses Verhalten rechtfertigt. Es ist anzunehmen, dass dieses auf persönlicher Abneigung gemünzt ist, gewürzt mit einer Prise Sony, HTC, Nexus fanboy Allüre und die Unfähigkeit aus einem Bericht die Wahrheit und die Hintergründe zu verstehen bzw. zu erkennen.


  • Nach billig kommt "geiz ist geil" billig. Heisst, wo Cents bei dem Material und Software gespart wird, kommt so was dabei raus. Ich kann diesmal nur hoffen, dass Samsung abgestraft wird, und das S5 bleibt im Verkaufsregal liegen


  • Cooler Bericht man


  • Macht ihr demnächst auch mal einen Bericht über die Sicherheitslücke, welche schon seit 2 Tagen bei Heise steht?
    Wäre interessant wie schnell Google diese fixed und wann das update dann bei den Smartphones ankommt.
    Ein System das nicht in der Lage ist, zeitnah bekannte Sicherheitslücken zu schließen, darf man heutzutage nicht im professionellen Einsatz verwenden.


    • Geht auf Grund der eigenen Frameworks und tiefen Eingriffe in das System durch die Hersteller nicht.

      Und stell dir vor. Google fixed schon eine Menge Dinge über Ihre Playdienste, weswegen immer mehr Funktionen dort integriert werden.

      "Ein System das nicht in der Lage ist, zeitnah bekannte Sicherheitslücken zu schließen, darf man heutzutage nicht im professionellen Einsatz verwenden."
      =Gut dann darfst Du gar kein System verwenden. ;)


    • @Thomas Stern: Wenn du es schon vor zwei Tagen bei heise gelesen hast, wieso willst du es dann jetzt noch mal bei uns lesen?


      • Lol, so kann man mit User-Kritik über unzureichende Berichterstattung natürlich auch umgehen.


      • Also ist der Vorschlag, sich einfach nicht mehr auf AndroidPIT als Seite zur Berichterstattung rund um Android zu verlassen. Klasse!


      • @henne: Autonome Themenauswahl automatisch mit "unzureichender Berichterstattung" gleichzusetzen, ist wohl etwas gewagt. Jeder Leser hat andere Erwartungen und möchte gerne seine eigenen Schwerpunktthemen und Vorlieben reflektiert sehen. Das ist in der Praxis aber nun mal leider nicht möglich.


      • @Frank K.: Wenn unsere Arbeit partout nicht deinem persönlichen Geschmack entspricht - ja. Wir wollen niemanden quälen.


      • Ich beziehe mich auf den Kommentar von Thomas Stern. Mit meinem persönlichen Geschmack hat das rein gar nichts zu tun.


  • Gibts da eigentlich Scanner bei denen das NICHT geht?


    •   28
      Gelöschter Account 16.04.2014 Link zum Kommentar

      Frag mal beim Pentagon oder bei der NSA nach :)


    •   26
      Gelöschter Account 16.04.2014 Link zum Kommentar

      Nein. - Aber sei froh!

      Wenn die Fingerabdruck scanner mal völlig sicher werden, klauen die Verbrecher nicht nur dein Handy, sondern schneiden dir bei der Gelegenheit auch gleich den Finger ab. ;-)


  • Kann man ja jetzt das Feature wieder von Liste der Neuheiten abziehen. O.o

    Gelöschter Account


  • Ein weiteres Problem speziell bei Samsung: Versucht man zu oft das Smartphone mit einem falschen Fingerabdruck zu sperren, ist nur noch das Entsperren über einen PIN möglich. Soweit auch beim iPhone 5S. Startet man nun aber beide Smartphones neu, verlangt das iPhone 5S immer noch ausschließlich den PIN. Beim Galaxy S5 kann man wieder neue Entsperr-Versuche mit dem Fingerabdruck vornehmen. Somit hat man im Prinzip unendlich viele Versuche. Ein großer Nachteil, der hoffentlich von Samsung schon erkannt wurde und in einem Update gefixt wird. Wie der Artikel schon sagt, ist es aufgrund des PayPal Anschluss eine heikle Angelegenheit. Anderseits hat PayPal auch schon ein Statement abgegeben, dass man über das Internet den Fingerabdruck sperren kann, falls man das Smartphone verliert. Nur wissen das wahrscheinlich die wenigsten.


    • Ein "großer" Nachteil? Fingerabdrücke lassen sich nicht per Brute-Force in allen verschiedenen Kombinationen ausprobieren. Du kannst deinem Opfer nur maximal 10 Finger abschneiden (und 10 Fußzehen wenn man's genau nimmt).


      • Hat man ein Glas oder Ähnliches, auf dem sich ein Fingerabdruck befindet, kann man so lange "Dummies" anfertigen, bis dieser funktioniert. So weit hast du wohl nicht gedacht.


  • O Wunder, O Wunder

Dank ist diese Seite frei von Werbebannern