Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

Umfrage 3 Min Lesezeit 45 Kommentare

CCC-Hack des Iris-Scanners beim S8: Vertraut Ihr der biometrischen Authentifizierung?

Samsung hat dem Galaxy S8 und S8+ einen Iris-Scanner verpasst, damit Ihr das Smartphone schnell entsperren könnt. Der Chaos Computer Club will das Verfahren ausgehebelt haben. Samsung wiederum spricht von einem unrealistischem Szenario. Wir wollen wissen: Traut Ihr der Biometrie noch über den Weg?

Samsung Galaxy S8: Iris-Scanner leicht zu überlisten?

Ein Video des Chaos Computer Club zeigt, wie simpel der Iris-Scanner des Galaxy S8 zu überlisten sein soll. Demnach reiche ein Foto des Auges, das mit einer einer handelsüblichen Kamera aufgenommen wurde. Auf einem Foto müsse die Iris einen Durchmesser von rund 100 Pixeln aufweisen, damit genügend Details vorhanden sind. In dem Video verwendet der Chaos Computer Club eine Kamera, die in den Nachtmodus geschaltet wird - dabei werde der Infrarotfilter der Kamera deaktiviert, um im Dunklen bessere Fotos zu knipsen. In diesem Fall allerdings sorgt der deaktivierte Infrarotfilter dafür, dass mehr Details der Iris auf dem Foto erscheinen.

Laut dem Entdecker dieser Schwachstelle ist das insbesondere bei dunklen Augenfarben nötig. Schon 2014 demonstrierte er, dass bei hellen Augen auch ein Bild ohne Infrarot-Informationen einen Iris-Scanner überlisten kann - unklar ist allerdings, ob dies auch beim Galaxy S8 der Fall sein könnte.

AndroidPIT samsung galaxy note 7 review 7501
Wie sicher sind Iris-Scanner? (Im Bild: Iris-Scanner des Note 7) / © AndroidPIT

Um den Iris-Scanner des Galaxy S8 zu überlisten, druckt der CCC das Bild auf mit einem Laserdrucker aus und klebt über die Iris eine Kontaktlinse an. Im Video ist dann zu sehen, dass das Galaxy S8 mit der Nachahmung entsperrt wird.

Samsung wiegelt ab. In einem offiziellem Statement gibt Samsung zu bedenken, dass ein erfolgreicher Hack eine unwahrscheinliche Kombination von Umständen erfordere. Einerseits müsse es ein hochauflösendes Infrarot-Foto der Iris geben, andererseits müsse der Angreifer ja auch in den Besitz des Smartphones gelangen. Samsung sei es gelungen, den Fall nachzustellen. Dabei sei es aber extrem schwierig gewesen, das Ergebnis erfolgreich nachzustellen. Eine Sicherheitsproblematik mag Samsung aktuell nicht erkennen, verspricht aber, Lücken zu schließen: "Sollte eine potenzielle Sicherheitslücke vorliegen oder eine neue Methode entwickelt werden, die unsere Sicherheitsmaßnahmen vor neue Herausforderungen stellt, werden wir so schnell wie möglich reagieren und die Lücke schließen."

Problem der Biometrie

Sicher ist, dass biometrische Authentifizierungsmaßnahmen nicht unbedingt die Sicherheit von Fort Knox bieten. Zwar ist es sehr schnell und komfortabel, ein Smartphone mit dem Fingerabdruck zu entsperren, im Alltag hinterlassen wir unseren Fingerabdruck aber ständig.

Ein hinreichend gutes Foto einer Iris zu machen, wäre auch im Alltag wenig problematisch - der CCC zeigte ja, dass dies noch aus fünf Metern Entfernung möglich sein kann. "Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden", so formuliert es der CCC in einer Pressemitteilung.

Andererseits erfordert ein Biometrie-Hack, wie Samsung richtig einwendet, dass das Smartphone im Besitz des Angreifers ist; gleichzeitig muss das dazugehörige biometrische Merkmal bekannt bzw. gesammelt sein. Der Zugriff auf ein Smartphone muss einem Angreifer aber in beinahe jedem Szenario gelingen.

Umfrage: Welche biometrische Merkmale verwendet Ihr zur Authentifizierung?

Nun interessiert uns: Was macht Ihr aus dieser verfahrenen Situation? Verwendet Ihr Fingerabdrucksensoren, Iris-Scanner oder Gesichtserkennung, um Euer Smartphone zu entsperren? Vertraut Ihr auf die Maßnahmen oder seid Ihr skeptisch? Nehmt an unserer Umfrage teil! 

Welche biometrischen Informationen nutzt Ihr bei Eurem Smartphone?
Ergebnisse anzeigen
Vertraut Ihr auf die Sicherheit der Biometrie?
Ergebnisse anzeigen

Top-Kommentare der Community

45 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Ist ja schön, was der CCC da veröffentlicht hat und ich bin auch sicher, dass es möglich ist, doch der Hype der daraus gemacht wird, dass es eine Gefahr darstelle oder ein Problem sei, wie kommt ihr bitte da drauf? Ich meine für den Geheimndienslter, den hochrangingen Wirtschaftler oder Politiker oder sonst wie sicherheitsrelevante Personen, für die mag das ein Problem sein, aber ich bin mir sicher, dass die solche Technik gar nicht nutzen um sich und ihre Daten im Netzt oder Handy zu schützen. Otto Normalo hat dieses Sicherheitsszenario ehr nicht und muss sich nur vor neugierigen Menschen in seiner Umgebung schützen. Dazu reicht ein Zahlencode oder ein Finerabdruckt und natürich auch so ein Irisscan, wenn man den meint. Jeder einzelne Mensch ist was besonderes und seine Daten und Infos aufm Handy damit auch, aber das heißt noch nicht, dass sich irgend wer dafür interessiert, die Meisten sind ja nun nicht James Bond und können getrost weiterleben mit dem Ergebnis des CCC-Experimentes ... Samsung muss natürlich so reagieren, die wollen verkaufen .....


    • Wenn das alles nicht so schlimm ist, dann frage ich mich warum viele ihr Handy mit Pin und so sichern? Es ist schon für jeden einzelnen, egal wer es ist wichtig und daher auch wichtig das es Leute gibt, wie die bei CCC die sowas rausfinden. Deine Meinung ist man braucht sowas nicht, woher willst du wissen das andere das auch nicht brauchen.


  • Der Fingerabdrucksensor ist schon eine gute Sache, sofern er schnell und mindestens zu 80% funktioniert.


  •   32
    Gelöschter Account 27.05.2017 Link zum Kommentar

    Am besten nichts davon,PW und dazu die Zweifaktoren Authentifizierung ,so wie es das bei Google Chrome OS auch schon gibt.

    Natürlich auf einem separaten Handy den SMS Code schicken lassen,macht ja sonst wenig Sinn das Ganze.

    Und am sinnvollsten wäre es auch ,Apps direkt im Browser zu benutzen ,ohne Google Play Store Abhängigkeit,oder als Browser Erweiterung .


  • Ach man hätte nicht den fingerabdruckscanner so blöd platzieren sollen . Und auch wenn dieses fast randlose Display Hammer aussieht, würde ich mir doch noch Tasten wie beim s7 wünwchen


    • Ich komme überraschend gut mit dem Fingerabdrucksensor zurecht und verfehle ihn fast nie. Und an die Tasten gewöhnt man sich doch, schnell.


  • Hmm an die Kritiker, wenn man sagt ich will nicht das meine Biometrischen Daten im Netz landen kann ich nur sagen: Dann darf man auch bei Facebook oder jeglucher website bzw allgemein nicht ein Foto von sich im Netz hoch laden.

    Und gerade die gescannten Finger sind nur ein Sensor und eben kein Fingerandruck. Selbst wenn man irgendwo seine Abdrücke hinterlässt wären diese mit dem Fingerscan abbild nicht zu kombinieren.

    Ich selber denke das jedes Passworr irgendwie umgangen wird aber für meine Zwecke reicht es, nämlich das nicht jeder ( auch Freunde, bekannte Arbeitskollegen ) nicht einfach ohne zu Fragen rum schnüffeln könnnen und dazu reicht diese Entsperrmethode sicherlich.



    Was mich bei dem Irisscan wirklich wundert ist: Das ein sivh nicht bewegendes Augenbuld mit Kontaktlinse genügt. Erinne mich an die alte Entsperrmethode per Gesichtserkennung zurrück diese wurde auch überlistet und kurz danach gepatcht, man musst nämlich runter gucken und erst dann wurde es akzepriert. Wunderr mich das man beim Irisscan nicht das Auge bewegen muss.


    • Biometrische Daten sind schon noch mal was ganz anderes als ein Foto. Manchmal kannst du dich dem Foto nicht mal verweigern, zum Beispiel wenn deine Firma ihre Mitarbeiter ins Firmenprofil stellen möchte. So kann man nicht argumentieren.


      • ein Photo enthält doch deine biometrischen Daten (:
        Debkste deine Gesichtszüge sind davon befreit? 🤣
        Wie wir gelesen haben, beinhalten viele Fotos ja direkt deine Iris. Und alle gesichtszüge sind auch drin und auswertbar.

        Ich sage ganz klar von wem jemals ein Bild ins web geladen wurden der kann auch einen Fingerscan auf einen geschützen server liegen haben. Ich erachte das Bild als viel tragiscjer um ehrlich zu sein.

        Ich selber finde ein Sensorabbild meines Fingers ( kein fingerabdruck ) immernoch anonymer als ein Foto ganz ehrlich... Und mitlerweile ist es leicht Softwaretechnisch jemand seinem Foto zu zu ordnen was mit einem Fingerscan nicht so einfach ist...


      • Deswegen taugen ja auch Gesichtszüge nicht als Schlüssel. Jeder kann sie mit einer Kamera abgreifen, das wäre dann so, als würde ich meine PIN auf einem Schild groß um den Halt für alle sichtbar herumtragen. Es gibt nun mal biometrische Daten, die jeder abgreifen kann, wie Größe, Gewicht, Gesichtszüge, aber auch die Iris oder Fingerabdrücke mit ein bisschen Aufwand.


    • Es ist ein gewaltiger Unterschied, ob ich auf irgendeiner Website Daten von mir aktiv eintrage oder ob Daten von mir eher verdeckt übertragen werden und mir in blumigen Worten nur die "bessere User Experience" genannt wird. Das betrifft biometrische Merkmale gleichermaßen wie andere Daten. Es ist erschreckend, was bereits heute an Daten von den Apps abgegriffen werden kann. Selbst das was angeblich sicher ist, ist früher oder später über einen Exploid auslesbar. Auf die dringend nötigen Updates wartet man in der Android-Welt viel zu lange - so sie denn überhaupt kommen.

      Ein Beispiel:
      Am Freitag wurde CVE 2017-7494 (SambyCry) veröffentlicht. Die Lücke betrifft den Zugriff auf Windows-Netzwerke durch Unix-Systeme und soll ähnliche Auswirkungen haben, wie WannaCry, das letzte Woche durch die Medien ging. Die Linux-Distributionen hatten zum Zeitpunkt der Veröffentlichung bereits Patches bereitgestellt. Mein billiges 1-Bay-NAS von Synology aus dem Jahr 2012 (DS-112+) hat das Update gestern bekommen (mit Datum von Donnerstag).

      Aufgrund der Erfahrung von Android 1.5 bis heute, möchte ich einem Android-System möchte ich keine biometrischen Daten anvertrauen. Zum einen ist Google der Grund, zum Großteil sind es die Hersteller der Geräte, aber auch die App-Entwickler sind vielfach unglaublich nachlässig.

      Das Argument "alles könne irgendwie umgangen werden", ist richtig. Aber was ist die Konsequenz daraus? Verzicht auf jegliche Sicherheitsmechanismen? Ist ja vergebene Liebesmüh?

      Nein! Für mich heißt das: Verzicht auf angeblich ach so tolle Dinge und Kontzentration auf das wirklich wesentliche. Halt Datensparsamkeit.


  • Wenn ich mir übrigens diesen Artikel hier durchlese, scheint mir die Frage nach einem Schutz gegen Eindringen von außen eher zweitrangig. Da stimmt ja schon die innere Sicherheit hinten und vorne nicht.

    https://m.heise.de/newsticker/meldung/Cloak-Dagger-User-Interface-Tricksereien-hebeln-Android-Rechtesystem-aus-3726591.html


    • Die Rechteverwaltung ab 6.0 ist ein Trojanisches Pferd. Sie sind so schwammig, dass nach wie vor krumme Sachen möglich sind. Das ist die reinste Verarsche. Google wird seiner Verantwortung nicht gerecht und öffnet mit der Täuschung weiterhin die Tür für Apps.
      Ich für meinen Teil habe langsam die Nase voll von den Machenschaften im Hintergrund.
      Und ich verstehe nicht warum sich der große Anteil von Usern sich dem Thema so verweigert.


      • Ich habe daraus gelernt und nutze nahezu keine Apps mehr. Mache alles im Browser punkt aus basta.

        Kein bock auf Apps die viel zu viel Rechte haben, und oft ist es im Browser sogar besser. Wozu eine Androidoit, Facebook oder instagramm App wenns im Browser genauso gut ist nur halt ohne mein Phone zu belasten ( Langsamee, akkuverbrauch standortabfragen u.s.w )


      • Naja, es kann nicht Sinn eines Smartphones sein, möglichst keine Apps zu nutzen. So wie du das machst, ist das eine Krücke, aber keine befriedigende Lösung. Hier ist Google in der Pflicht. Wenn man mit Apps Geld verdienen will, dann sollte das auch alles sicher sein. Apple ist da viel weiter vorne und nimmt die Sache auch ernster als Google.


      • @tenten Warum krücke? Oft macht die App genau das selbe wie der Browser nur halt automatisch im hintergrund laufend.

        Nutze mal Facebook mit einem guten Browser oder kit der app da ist keinerlei unterschied. Instagramm sieht auch genauso aus.

        Ich lege mir die websiten direkt mit Icon auf den Homescreen. Meistens ist da kein unterschies und sehr oft ist die app im vergleich die Krücke und die website bietet mehr.

        Z.b wetter.com in der mobilen browseransicht ist perfekt wozu brauche ich da extra wetter apps?

        Einen Mail Clienten brauche ich auch nicht.

        Das Problem an apps sind nunmal auch die wakelooks hat da merklich weniger von hält das Akku auch länger.

        Und die meistens apps belasten akkutechnisch und auch leistungstechnisch das System. Vorallem wenns viele sind.

        Ich verzichte z.b bei folgenden Apps drauf und nutze es im Browser:

        Androidpit, facebook, instagramm, wetter.com, clever tanken, statt play Kiosk google news, und und und

        Da brauche ich echt keine App, die automatisch startet im hintergrund läuft und dann andauernd irgendwelche standortabfragen macht, sich ungefragt mit servern verbindet und einfach so irgendwelcze daten verschickt, meine kontalte ausgelesen werden, dauernd mit geteilt wird wo ich mich aufhalte mit wem ich wann komuniziere und und und.

        Viele Apps sind nunmal überflüssig und ich finde das leistungsstärkste tool einen Smartphones istbder Browser und eben keine Apps.

        Also für mich ist der Sinn eines smartphines sicherlich nicht nur apps zu laden und zu nutzen.

        Bei mir ist es ganz klar der Browser, die Kamera, wecker, und Kommunikationszentrale.

        Wenn man sich etwas mühe gibt stellt man fest das die meisten Apps unnötig sind.

        Aries


  • Die Frage ist letztlich "nicht" ob ein Hack bei Verlust des Gerätes möglich ist.
    Die Frage ist, ob ich das Risiko eingehen will, dass irgendwann biometrische Daten kombiniert mit meinem Daten-Profil auf irgendwelchen Servern liegen!

    Will man sowas?
    Also ich nicht.


  • Moritz Deussl
    • Mod
    • Blogger
    27.05.2017 Link zum Kommentar

    Ich würde trotzdem den Iris-Scanner nutzen. :-)


  • Ich halte die Iriserkennung für eine unnütze Spielerei, die Samsung als tolles neues Feature verkaufen kann und der Kunde, der es nutzt, kann sich damit wahnsinnig wichtig fühlen. Mehr ist es nicht, eine Werbemasche. Es dient weder der Sicherheit noch groß dem Komfort des Users.


  • Verstehe ich nicht ganz. Muss der Infrarotfilter jetzt aktiviert sein? Am Anfang und im Statement von Samsung stehen unterschiedliche Aussagen. Vielleicht ist dieser "Hack" für Hans Mustermann zu aufwendig, aber es gibt sicher Gruppierungen für die das ein Leichtes wäre. So gesehen, macht es sich Samsung etwas zu einfach.

    H G

Zeige alle Kommentare

Empfohlene Artikel