Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
Kommentar 66 mal geteilt 83 Kommentare

Sicherheit von Fingerabdrucksensoren: Es sind erhebliche Zweifel angebracht!

Fingerabdruckscanner sind eine praktische Angelegenheit: Ihr legt Euren Finger auf diesen und schon entsperrt sich das Smartphone - zumindest, wenn es einen bekannten Abdruck erkennt. Ein Fall in den USA zeigt: Die aktuellen Sensoren lassen sich überlisten und die Software tut ihr Übriges, um das Vertrauen in die Fingerabdruckscanner zu erschüttern.

Hello Moto oder Hello Motorola?

Wähle Moto Z oder Motorola Milestone.

VS
  • 1367
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Moto Z
  • 1287
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Motorola Milestone

The Verge berichtet von einem Fall, in dem Forscher das Smartphone eines Mordopfers entsperrt haben. Und zwar mit einem nachgemachten Fingerabdruck. Der Clou: Die Forscher probierten verschiedene Wege aus, den Fingerabdruck des Opfers zu klonen und das Phone zu entsperren. Unter anderem auch mit Equipment, das einen Wert von rund 800.000 US-Dollar hatte. Tatsächlich hat aber eine Methode funktioniert, die im Prinzip mit einem handelsüblichen Drucker und ein bisschen Handarbeit umzusetzen ist.

Smartphone macht es Angreifern zu einfach

Eines der größten Probleme war: Die Forscher hatten natürlich direkten und unbegrenzten Zugang zu dem fraglichen Smartphone, einem Samsung Galaxy S6. Das große Sicherheitsproblem: Selbst nach vielen gescheiterten Versuchen war der Fingerabdruckscanner nicht deaktiviert, sondern ließ weitere Erkennungsversuche zu. So hatten die Forscher genügend Zeit, ihren gefälschten Fingerabdruck zu optimieren, bis das Smartphone diesen anstandslos akzeptierte.

Auf einem Samsung Galaxy S7 und einem Nexus 5X konnten wir das gleiche Verhalten beobachten: Selbst nach vielen fehlgeschlagenen Versuchen konnten die Smartphones immer noch mit dem richtigen Finger entsperrt werden. Zwar gab es einige kurze Sperren von 30 Sekunden, danach war aber wieder alles normal. Es ist erstaunlich, dass die Hersteller hier keine höheren Hürden einziehen: Immerhin gibt es zum Fingerabdruck ja stets einen Backup-Code, der alternativ einsetzbar ist.

BlackBerry stellt Sicherheit der Sensoren infrage

Angesichts der vielfältigen Möglichkeiten, aktuellen Scannern einen gefälschten Abdruck unterzujubeln, erscheint es ganz vernünftig, dass beispielsweise BlackBerry sagt, dass man derzeit nicht von der Sicherheit der verfügbaren Sensoren überzeugt sei. Daher sei im BlackBerry DTEK50 auch kein Fingerabdrucksensor integriert.

Würde aber beispielsweise ein Smartphone nach drei Versuchen konsequent einen fünfstelligen Code oder ein Passwort verlangen, wäre das Problem schon deutlich reduziert: Wer immer versucht, das Smartphone zu entsperren, hätte dann nur drei Versuche. Vollständige Sicherheit gewährt freilich auch dies nicht, aber die Hürde wäre erheblich höher.

HK
Hans-Georg Kluge
Trotz der Sicherheitsprobleme: Ich nutze den Fingerabdrucksensor.
Stimmst du zu?
1102 Teilnehmer
50
50

Neue Technologien wie zum Beispiel der Iris-Scanner des Galaxy Note 7 versprechen eine höhere Sicherheit. Dafür kommt jedoch ein aktiver Infrarot-Scan zum Einsatz. Und die Iris ist biometrisch betrachtet komplexer als ein Fingerabdruck. Aktuell haben Iris-Scanner aber Probleme, wenn Brillen- oder Kontaktlinsenträger diesen verwenden möchten.

Aber wie sollten User derzeit mit einem Fingerabdrucksensor umgehen? Verwenden? Nicht verwenden? Ich sehe es so: Im Alltag ist die Funktion so praktisch, dass ich den Zeitgewinn trotz der offenkundigen Sicherheitsprobleme weiter verwende. Wenn auf meinem Smartphone wirklich vertrauliche Daten lagern würden, dann würde ich dem Fingerabdruck nicht mehr trauen.

Wie regelt Ihr die Sicherheit auf Eurem Smartphone? Erfreut Ihr Euch am Komfort eines Fingerabdrucksensors oder setzt Ihr auf einen sicheren Sperrmechanismus wie ein Passwort? Schreibt es in die Kommentare!

Quelle: The Verge

Top-Kommentare der Community

  • Fritz F. vor 4 Monaten

    Ich sehe es so: Wer wirklich unbedingt ins (gestohlene) Handy rein will, der hat da schon seine Methoden und Ehrgeiz. Für jeden normalen Taschendieb reicht der normale Fingerabdruckscanner auf jeden Fall. Ich verwende den Scanner, da er sehr zeitsparend und bequem ist.

  • Marie-Luise Orland vor 4 Monaten

    Seit ich ne Smartwatch und nen Fingerabdruckscanner habe sperre ich mein Smartphone überhaupt erst. Vorher war es einfach immer zu nervtötend.
    Mal schnell was öffnen wie zb Google Maps um jmd zu helfen ist nämlich nicht möglich, wenn ich erst nen passwort eingeben muss. Pin und Muster sind kaum sicherer als keine Sperre.

    Man muss ja auch erstmal an mein Handy kommen und dann genug Zeit haben um da einzubrechen.

  • 16
    Mar vor 4 Monaten

    Also ich persönlich nutze den Fingerabdrucksensor auf meinem Nexus 5x sehr gerne, da dieser auch sehr zuverlässig und schnell funktioniert. Ein Pin ist natürlich alternativ erstellt aber das gefällt mir wiederum sehr an Apple, die nach 10 maligen Fehlversuchen den Zugang nicht mehr gewähren und das Handy unbrauchbar machen lassen. Diesen oder einen ähnlichen Vorschlag habe ich bereits Google unterbreitet und hoffe sowie warte mal ab, ob eine ähnliche Funktion in naher Zukunft folgt. Was Google jetzt aber in meinen Augen wirklich genial gelöst hat, ist das mit der "Prompt" Funktion, die dir eine Nachricht auf dein Handy schickt ob du es auch wirklich bist der sich da einloggt.......genial, da könnte sich das Apple ruhig mal abschauen aber ich glaub das gehört jetzt alles nicht mehr in diesen Beitrag 😂😂

  • DiDaDo vor 4 Monaten

    Viel zu aufwendig für den Kleinkriminellen, der uns ans Smartphone will.

83 Kommentare

Neuen Kommentar schreiben:
  • Und jetzt der Pinn kann einfach abgeschaut werden. Und ich glaube ein Dieb versucht einfach die Daten zu reseten und fertig. Also so eine Arbeit macht sich doch keiner. Also zumindestens beim durchschnittlichen Menschen. Sowas kann einen Interesieren wenn man Politiker ist oder sensible Daten einer großen Firma auf dem Smartphone hat.

  • Mr Dizz vor 4 Monaten Link zum Kommentar

    Also bei Android 6.01 auf meinem S6 sperrt sich der Fingerabdrucksensor automatisch nach 24 h der nicht Benutzung des Geräts. Danach wird, je nach dem was der Nutzer als Alternative angelegt hat, Muster, Pin oder Passwort benötigt um das Gerät zu entsperren. Auch gibt es keine endlosen Versuche bei der Eingabe des Fingerabdrucks. Bei 5 maligen fehlgeschlagen Versuchen, werden Timeouts gesetzt, welche sich steigern (Standart Einstellung). Zusätzlich kann durch den Benutzer in den Einstellung, die Versuche auf 15 Fehlersuche begrenzt werden. Anschließend wird das Gerät auf Werkseinstellung gesetzt und alle Benutzerdaten gelöscht.

    Meiner Meinung nach, hätte die Polizei bei dem Mordfall weder die Möglichkeit mehr gehabt den Fingerabdrucksensor zu benutzen, noch unendlich viele Versuche gehabt diesen zu knacken.
    Da mutmaßlich, die 24 h Frist hier eine Benutzung ausgeschlossen hätte.

    Wieso wurden diese a Absicherungen des Timeouts, des Löschens nach 15 Versuchen und der 24h Frist mit keinem Wort erwähnt!

    • 44

      Weil der polizei,der nsa, cia oder fbi ganz andere möglichkeiten als einem normalsterblichen zur verfuegung stehen.ev. auch codes der hersteller zum aushebeln der beschränkungen

  • Habe überhaupt keine Sperre aktiviert. Wenn jemand von der Familie oder Freundeskreis mein Phone benutzen möchte kann er es einfach machen. Habe nichts drauf was andere nicht sehen dürfen. Ist auch bei anderen in der Familie so .

  • Aries vor 4 Monaten Link zum Kommentar

    Keine Neuigkeit
    http://www.heise.de/security/meldung/CCC-publiziert-die-Fingerabdruecke-von-Wolfgang-Schaeuble-Update-193732.html

    http://www.heise.de/security/meldung/31C3-CCC-Tueftler-hackt-Merkels-Iris-und-von-der-Leyens-Fingerabdruck-2506929.html

    Außerdem sind die Fingerabdrücke bei privaten Firmen in den USA gespeichert. Ein lohnendes Ziel für Hacker in der Zukunft, um Zugangssysteme zu überlisten. Wie schwach selbst Weltkonzerne ihre IT absichern, sollten die Vergangenheit gezeigt haben.

    • Rollo vor 4 Monaten Link zum Kommentar

      Hast du nicht zufällig vergessen, auch noch die NSA zu erwähnen? Das ist momentan doch auch sehr beliebt ;-)

      • Aries vor 4 Monaten Link zum Kommentar

        Die NSA brauche ich nicht zu erwähnen, solange wir wie die Lemminge immer mehr persönliche Daten privaten Unternehmen - insbesondere im Ausland - geben.

    • Das stimmt so nicht. Die biometrischen Daten werden gehasht gespeichert bzw weiterverarbeitet.

  • 44

    Es ist wesentlich leichter an einen pincode ranzukommen alls den fingerabdruck oder irisscanner zu ueberlisten.
    Lange genug am fingerabdruck rumdoktern dann kommt die pinabfrage und dann kann man loslegen.
    Uebrigens sensieble daten gehoeren nicht auf das smartphone.
    Pincodes vom smartphone auf dem computer besser noch bei einem kollegen gespeichert wirkt ware wunder

  • Stefan vor 4 Monaten Link zum Kommentar

    Solange das mit dem Fingerabdruck nicht besser wird, werde ich vorerst darauf verzichten. Ich nutze einen pin code, der nach einem mir bekannten Muster wechselt, dazu kommt das mein Menü so Gestaltet ist das ein Außenstehender es sehr schwer hat was zu finden. Habe das ganze an meiner Schwester ausprobiert, nach 5 min gab sie auf.

  • Wir tun so, als ob wir einen möglichst dämlichen Standpunkt vertreten würden;
    diesen verkaufen wir dann als unsere "Meinung", nur um eine möglichst hitzige Diskussion herausfordern zu können.

    Willkommen bei AndroidPIT.


    Sagt mal, habt ihr nicht gesagt, dass ihr...?

    Und ich verstehe nicht mal, was ihr mit so einer Taktik überhaupt erreichen wollt.

    • Rollo vor 4 Monaten Link zum Kommentar

      Was man mit so einer Taktik erreichen möchte? Man könnte sich z.B. viele Klicks/Seitenbesucher ergaunern, um dadurch Geld zu verdienen.

      "Sagt mal, habt ihr nicht gesagt, dass ihr...?" - Meinst du das hier:
      Zitat: "Wir haben viel vor und wollen AndroidPIT in Sachen QUALITÄT wieder viele Schritte nach vorne bringen".
      https://www.androidpit.de/hallo-androidpit-da-bin-ich-wieder

      • 44

        Ergaunern ist aber etwas hart ausgedrueckt!
        Androidpit ist doch auf einnamen angewiesen. Und von uns kommen diese ja wohl nicht.
        Reisserische ueberschriften nuetzen doch auch uns, sonnst muessten wir etwas bezahlen jedesmal wenn wir uns einlogen.
        Ist im grund doch egal was in der ueberschrift steht sollange der zweck des artikels ersichtlich ist.

      • Rollo vor 4 Monaten Link zum Kommentar

        Das kann man alles auch mit seriösen Überschriften erreichen.
        Möglicherweise hätte dieses Magazin dann sogar eine noch größere Leserschaft, hätte einen noch besseren Ruf und könnte somit noch mehr Geld durch Werbeeinnahmen verdienen. Qualität zahlt sich nunmal aus, aber das scheint einigen nicht bewusst zu sein.

  • Rollo vor 4 Monaten Link zum Kommentar

    Es sind "ERHEBLICHE Zweifel" angebracht??? Weil FORSCHER in EINEM einzigen MORDFALL den Sensor (angeblich) überlisten konnten???
    Ganz im Ernst: das ist hier doch entweder ein Satire-Magazin oder aber Menschenverdummung in Perfektion.

    Hans-Georg Kluge, begründe und erläutere doch bitte die vermeintlich "ERHEBLICHEN Zweifel", damit dieser Artikel nicht in die weltweiten Top 10 der Lächerlichkeiten aufsteigt. Eine Begründung für die hanebüchene Behauptung in der Überschrift ergibt sich aus dem Artikel jedenfalls nicht.

    Das es selbst Forschern mit einem Equipment im Wert von (angeblich) 800.000 $ zunächst nicht gelang, den Sensor zu knacken, beweist doch vielmehr, wie sicher diese Fingerabdruck-Sensoren sind!
    Jeder Otto-Normal-Dieb/Räuber/Hehler/Hacker wird sich daran die Zähne ausbeißen, es sei denn, er hat dem rechtmäßigen Handy-Eigentümer auch gleich noch einen Finger abgeschnitten und diesen mitgenommen.

    • Ich wäre mir nicht so sicher, dass der Sensor so schwer zu knacken ist.
      In dem unten verlinkten Video braucht man kein Equipment für 800.000 $, ich würde sagen, 80 € reichen, wenn man einen guten Drucker und ein Smartphone mit vernünftiger Kamera schon hat. Wer selber schon mal Leiterplatten geätzt hat, der weiß, dass zum Entwickeln und Ätzen der mit Fotoresist beschichteten Leiterplatten, die es im Elektronikhandel gibt, absolut handelsübliche Chemikalien reichen, die man im Drogeriehandel oder der Apotheke bekommt. Mir sind diese Chemikalien bekannt, aber es tut nichts zur Sache, sie hier zu nennen. Statt der im Video gezeigten UV-Belichtungsanlage reicht in der Regel auch eine starke Glühlampe oder besser eine Leuchtstofflampe wie z.B. eine Energiesparlampe, bei entsprechend längerer Belichtung.
      Die größten Probleme der im Video dargestellten Methode dürften sein, einen kontrastreichen Fingerabdruck auf sauberem Untergrund zu finden, und in einer Bildverarbeitung ein kontrastreiches Schwarz-Weiss-Bild korrekter Größe (kann aus dem Original-Fingerabdruck ermittelt werden) daraus zu machen.
      Hat man das an einem legal erworbenem Gerät eingeübt, kann aber schon der erste Versuch mit der künstlichen Haut gelingen.
      Letztlich wird mit dem Holzleim eine zweite Haut erzeugt, die statt der eigenen Haut die passende kapazitive Ableitsignatur erzeugt.


      https://srlabs.de/bites/spoofing-fingerprints/

      @Mods und Redaktion: Das Video, bzw. die Seite, auf der es zu finden ist, ist auch durch die Seite von Heise verlinkt, ähnliche Videos finden sich massenweise im Netz. So sind bei Youtube auch Verfahren mit Wachs und Latexfarbe thematisiert.

      http://m.heise.de/security/meldung/Fingerabdrucksensor-des-iPhone-6-ueberlistet-2399891.html
      (auf SRlabs tippen)

      Thematisiert wurde eine ähnliche Methode der Entsperrung, wenn auch nicht so ausführlich, auch schon in einem "Tatort"
      ("Das verkaufte Lächeln", Leitmayr, Batic).

      Um nun zum Artikel zurückzukommen: Ich muss dem Autor recht geben. Wirklich sicher kann man das Prinzip des Fingerabdrucksensors nun leider nicht mehr nennen, für viele einfache Sicherungsaufgaben, wie die Entsperrung des Geräts (falls das Gerät mal kurze Zeit unbeaufsichtigt ist), sollte er aber immer noch eine hinreichende Barriere sein. Sensiblere Daten sollten aber zusätzlich geschützt werden, z.B. durch einen Datentresor. Onlinebanking wird in der Regel ohnehin durch eine Zweifaktor-Authentifizierung abgesichert (z.B. Pin und Tan).
      In dem Zusammenhang kann ich eine, am besten zusätzlich aktivierbare, Iriserkennung eigentlich nur gutheißen.

      Nachtrag: Noch was zu dem Thema:

      http://www.zdnet.de/88190815/deutsche-forscher-ueberlisten-fingerabdruckscanner-des-samsung-galaxy-s5/


      Quellen: m.heise.de, srlabs.de, ARD (Bayerischer Rundfunk), www.zdnet.de

      • 44

        Es ist natuerlich auch praktisch wenn mann die anleitung dazu bei androidpit nachlesen kann.

      • Rollo vor 4 Monaten Link zum Kommentar

        @Michael K.:
        Das hört sich ja alles unheimlich spannend und einfach an, aber wo der entscheidende Fehler in diesen Überlegungen liegt, hast du selber geschrieben:
        "Die größten Probleme der im Video dargestellten Methode dürften sein, einen kontrastreichen Fingerabdruck auf sauberem Untergrund zu finden".
        Genau das wird dem Nutzer eines entwendeten Gerätes nicht gelingen. Es ist nahezu ausgeschlossen, einen Fingerabdruck auf dem Gerät zu finden, der so deutlich ist, dass er dazu geeignet wäre, ihn zu duplizieren. Und ein Handydieb wird wohl kaum die komplette Wohnung des rechtmäßigen Eigentümers nach Fingerabdrücken absuchen und diese dann auch noch mit entsprechenden Gerätschaften sichern können.

        Selbst wenn man einen guten, sehr deutlichen Fingerabdruck auf dem Gerät findet, dann müsste der Dieb zusätzlich verdammt großes Glück haben, dass es sich dabei auch um einen Fingerabdruck handelt, der zum Entsperren des Gerätes registriert ist. Was nützt ihm z.B. der Abdruck eines Zeigefingers, wenn der Eigentümer nur die beiden Mittelfinger im Gerät abgespeichert hat?! Was in dem von dir verlinkten Video gezeigt wird, ist vielleicht rein theoretisch möglich, in der Praxis eines Kriminellen jedoch überhaupt nicht umsetzbar.

        Hier von "erheblichen" Zweifeln an der Sicherheit von Fingerabdrucksensoren zu sprechen, ist jedenfalls eine bodenlose Frechheit und schnöde, billige Panikmache. Was hier durch einige Magazine und Blogs in die Welt gesetzt wird, kann man auch gerne in die Kategorie der Verschwörungstheorien stecken. Nun gut, es gab ja schon immer Wichtigtuer, die sich mit solchen Berichten und Videos ins Rampenlicht stellen wollten.

      • @Markus Riedberger:
        Ich hatte mir natürlich auch überlegt, ob es sinnvoll ist, das Video zu verlinken, weil es selbstverständlich nicht meine Absicht war oder ist, jemandem zu helfen, anderen zu schaden. Ich hätte auch Verständnis dafür gehabt, wenn der Link entfernt worden wäre. Aber das Video steht schon seit zwei Jahren im Netz, ist auch durch andere Seiten verlinkt, und ich selber habe es in weniger als 5 Minuten mittels Google gefunden. Die von Aries verlinkten Artikel zeigen, dass die Verfahren ein noch viel älterer Hut sind, als zunächst vermutet. Zudem, wie geschrieben, findet man auf Youtube und anderen Seiten weitere, teilweise noch einfachere Verfahren, einen Fingerabdruck zu kopieren. Ich denke, wenn Leser sehen, dass man nicht Kriminaltechnik studiert haben muss, oder ein Profilabor besitzen muss, um einen Fingerabdrucksensor zu überlisten, dann weckt das ein Gefühl für die Sicherheitsproblematik. Es geht nicht darum, diesen bequemen Entsperrmechnismus jemanden zu vermiesen. Es geht darum, jeden der es weiss, abwägen zu lassen, was er damit schützt, und bei was er höhere SIcherheitsbarrieren für sinnvoll hält.

      • @Frischkopf:
        Stell Dir folgendes Szenario vor:
        Jemand sitzt in einer Wirtschaft, und trinkt ein Glas Bier, aus einem selbstverständlich sauberen Glas. Zwei Gauner beobachten die Gäste. Die Person geht. Während einer der Gauner sich, behandschuht, blitzschnell sein Glas greift und in einer Plastiktasche verschwinden lässt, rempelt sie der andere, - ein erfahrener Taschendieb - am Ausgang an, entschuldigt sich scheinheilig, und schnappt sich in geübter Manier blitzschnell sein Smartphone.
        Kurz dananch sind beide zuhause, wo sie sie das Verfahren in den letzten Wochen perfektioniert haben. Sie sind keine Profis, überall liegen diese gelben Bücher für IT-Anfänger rum. Aber immerhin haben sie sich ein Smartphone mit hochwertiger Kamera gegönnt, und waren auch nicht zu geizig, 250 € in einen UV-Belichter zu investieren, der Leiterplattenresist in 3 Minuten belichtet. Am Glas haben sie Fingerabdrücke aller fünf Finger der rechten Hand in guter Qualität. An ihrer Lage kann man erkennen, dass sie zusammengehören, und nicht etwa zum Kellner. Nach 45 Minuten haben sie Holzleimfolien aller fünf Finger, nach weiteren 5 Minuten ist das Smartphone entsperrt. Gleich wird nach allem gesucht was unmittelbar Geld bringt. Das Gerät kann schon zur Bezahlung genutzt werden? Um so besser.
        Am Ende werden noch die Fotos durchstöbert. Frau mit Kindern? Langweilig. Aber da. Der Besitzer, halbnackt mit einer schönen Blonden, auf einem Selfie. Der Anrufliste zufolge muss dies diese Katrin K. sein. Erpressung? Eigentlich nicht ihr Geschäft, aber man kann ja mal was neues probieren...
        Als der Besitzer den Verlust nach 90 Minuten bemerkt, ist alles aus dem Gerät geholt, was verwertbar war. Das gute Smartphone längst in die Isar entsorgt.

        Fiktion natürlich, aber wirklich unrealistisich? Ich denke zwar nicht, dass die in verschiedenen Videos gezeigten Verfahren, Fingerabdrücke zu kopieren um damit die Sensoren zu überlisten, ad hoc gelingen, ich halte sie aber nach einer gewissen Einübung für durchaus mit kleinem Budget durchführbar.
        Ich halte die Kritik in manchen Kommentaren für etwas zu harsch, weil ich denke, dass der Artikel im Grunde eine positive Absicht verfolgt: Man sollte nicht blindlings solcher Sicherheitstechnik vertrauen. Das heißt aber auch nicht, dass man ganz darauf verzichten muss. Und manche Daten oder Bilder lässt man besser nicht auf seinem Smartphone.

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!