iPhone 5s Fingerabdruckleser: so wurde er umgangen (und eine kurze Meinung dazu)
von caschy | 41 Kommentare
Dass ein Mitglied des Chaos Computer Clubs den Fingerabdruckleser des iPhone 5s umgangen hat, dürfte mittlerweile im hintersten Winkel des Internets angekommen sein. Entglorifiziert ist die Sicherheit, zurück bleibt die Erkenntnis, dass der Fingerabdruckleser im iPhone 5s nicht vor ambitionierten Tüftlern halt macht, sondern lediglich etwas für den faulen Nutzer ist.
[werbung]
Denn wenn 50 Prozent aller Benutzer im Vorfeld keine Sperre nutzten, nun durch den Fingerabdruckleser aber eine eingerichtet haben, dann ist das schon einmal ein ganz großer Fortschritt. Ich verstehe beide Seiten. Den faulen Nutzer, der seinen Finger zum dutzendfachen Entsperren täglich auf das iPhone 5s legt und natürlich auch den sicherheitsbewussten Anwender, der davon ausgeht, dass seine Fingerabdrücke von Gläsern extrahiert werden, um diese in einen künstlichen Finger umzuwandeln.
Alternativ kann man auch gerne die Geschichte aus der Kiste holen, dass so ein mittels Fingerabdruck gesichertes Smartphone unter Gewalt sicherlich schneller mit dem Finger entsperrt werden kann, als wenn derjenige mit James Bond-Ambitionen sein Passwort „vergessen hat“.
Lange Rede, kurzer Sinn: entscheide, ob du ein fauler Anwender bist – oder ob du es sicherer magst. Dann ändere aber auch bitte den vierstelligen Pin in eine längere Kombination. Dennoch sollte Apple folgenden Slogan auf der Homepage überdenken: „Halte einfach deinen Finger auf die Hometaste und schon wird dein iPhone entsperrt. Das ist praktisch und extrem sicher“. Extrem sicher ist es nämlich nicht. Eine Info noch: nach fünfmaligen Auflegen eines falschen Fingers muss der Code eingegeben werden. Eben getestet. Aber ich schweife ab.
Es gibt nun ein Video, welches den genauen Vorgang widerspiegelt. Wie ist starbug vorgegangen, um das iPhone 5s zu entriegeln? Die technischen Hintergründe schlüsselten wir bereits auf, das Video gibt einen schönen Einblick in die rund 30-stündige Arbeit, die der Experte auf diesem Gebiet leisten musste.
Wird geladen ...
Hätte er 30 Stunden lang gearbeitet und dabei 20€ die Stunde verdient, hätte er das Ding gleich kaufen können 😉
Nix neues. Jeder Fingerprint-Scanner ist so überlistbar. Nie Mythbusters gesehen?
Alle, die nicht auf Temperatur und/oder Puls scannen sind extrem leicht überlistbar.
„Hacken“ is auch was anderes. Dort wurde ja nicht die Technik umgangen, sondern der Finger verdoppelt.
Wie Autoschlüssel klauen… Geknackt wurde das Auto nicht, sondern der Schlüssel geklaut.
ich find es peinlich das der CCC sowas als Haken ausgibt.
Eigentlich zu Bedenken geben sollte, dass die biometrischen Daten dann bei Apple liegen. Von dort ist es nicht mehr weit bis zur NSA…
Hundepfote drauf und fertig. Woher hab ich das nur? 😀
der Begriff „hacking“ ist so von der Allgemeinheit verhunzt worden. Das hier ist „Hardware Hacking“ also das Erstellen von Mitteln zum klassischen Hacking…. und außerdem bezeichnet das klassische altmodische Hacking heutzutage eigentlich schon immer zu 99% social engineering, weil man davon ausgeht, dass die technischen Sicherheitsmechanismen sowieso so gut funktionieren, dass man als Drittperson nicht dran vorbei kommt.
Der Rest nach dem Social Engineering ist einfach ein Login mit fremden, „gestohlenen“ Daten…
…und wer bitte schön macht sich so eine Arbeit um Zugriff zu einem Handy zu bekommen??? 30 Stunden Arbeit??? Finde es ehrlich gesagt peinlich vom ccc…
Mal abgesehen davon, was ist schon 100% sicher? Die Pin-Code Abfrage sicherlich auch nicht…
@snoff…ich danke dir! endlich mal jemand, der nicht nur euphorisiert sagt „wow, was für eine tolle neuerung“, sondern auch mal kritisch über dinge nachdenkt…was kommt als nächstes? das man seine körperflüssigkeiten zum erstmaligen aktivieren irgendwo reinkippen muss? oder doch lieber eine blutprobe, damit die genetik desjenigen entschlüsselt werden kann? manchmal hat man das gefühl, dass wir alle in einem riesen großen gefängnis sitzen, aus dem man nicht heraus kommt…das schlimme ist nur, dass die meisten es gar nicht merken…das sie nicht merken wie geld ihr leben bestimmt, mehr arbeit durch stellenstreichung ihnen die freizeit raubt. nein, sie glorifizieren diese neue welt…rechnen wir mal nach..40 stunden woche=8 stunden am tag, zzgl. 1 stunde pause, machen dann neun stunden. dazu kommt der weg zur arbeit, welcher bei den meisten zwischen 30 und 60 minuten dauert…gehen wir meinetwegen gern von 30 minuten aus, dann wären hin und rückfahrt insgesamt eine stunde, also bisher insgesamt 10 stunden am tag nur für die arbeit. der gesunde schlaf sollte zwischen 6 bis 8 stunden liegen, hier nehmen wir den mittelwert von 7 und eine stunde rechnen wir morgens um sich fertig zu machen und vor der arbeit zu frühstücken. das sind dann allein für die arbeit, von fertig machen, über den weg bis zur arbeitszeit schon 11-12 stunden, zzgl. 8 stunden schlaf wären es 20 stunden..man hat also ca. 4-5 stunden freizeit, wobei man dies manchmal auch einfach freigang nennen könnte…
aber damit nicht genug, weil wir ja nicht schon genug von dem system ausgenutzt werden, sollten wir evtl. auch mehr steuern abgeben und zwar nach jeder legislaturperiode, mit mehr streichungen was leistungen durch die krankenkasse rechnen und dürfen z.t. nicht das tun und lassen was uns beliebt, obwohl wir damit niemandem anderen schaden würden…
schöne neue welt in der wir leben…
ich frage mich, wie snoff auch, warum man in dem artikel hier kein wort darüber verliert, dass die fingerabdrücke sicherlich durch das backdoor von ios zu den geheimdiensten wandern werden… wtf?
Biometrische Daten liegen bei Apple? Da fehlen dann anscheinend ein paar Fakten 😉
So, tun sie das sicherlich?
Da ihr Euch alle über die NSA beschwert eine kurze Frage.. Schonmal in den Staaaten gewesen? Ja? Dann haben sie die Fingerabdrücke eh schon.. Mich interessiert es herzlich wenig ob meine Fingerabdrücke dort bekannt sind…
Was ich allerdings bedenklich finde ist, das man mit seinem Fingerabdruck im iTunes Store oder ggf. in Zukunft generell, einkaufen kann.
Ich glaube, dass auf iPhones vor dem 5S nur wenige Nutzer überhaupt eine Sperre nutzen. Wenn einige davon sich mit dem Fingerabdruckscanner anfreunden, wird die Welt ein kleines Stückchen sicher. Ein hackbarer Schutz ist besser als kein Schutz.
@Kay: deaktivierbar.
Wenn ihr Angst habt, dass die NSA Eure Fingerabdrücke bekommt (mal abgesehen von der Frage, ob Apple in dem Punkt lügt), solltet ihr vermeiden zu verreisen. Denn viele Nicht-EU Staaten verlangen bei der Einreise von Euch Fingerabdrücke (teilweise) von allen 10 Finger und wie deren Datenschutzrecht dann ist, die Fingerabdrücke gesichert sind und die Kontakte direkt zur NSA sind, kann man sich denken. Spätestens, wenn ihr in die USA einreist hat die NSA eure Fingerabdrücke… und von wegen der Finger lässt sich leichter benutzen, wenn man gefesselt wird, als wenn einem das Passwort erpresst wird: Wer ist bitte so dämlich und lässt sich für 700 EUR foltern? Dann erpressen sie halt das Passwort, werden glücklich und die Versicherung kauft mir ein neues iPhone…
@Maik & caschy: klar ihr habt recht, Apple sagt sie liegen nur auf dem Handy. ist halt nur die frage ob das stimmt, bzw. ob es sich mal durch n update ändert. Ist halt ne vertrauenssache und ich finde ist ein (bzw. bis zu 10) fingerabdruck n hoher preis für wenig sicherheit und viel faulheit. aber nur imho.
@Kay: ob sich 30 Stunden aufwand lohnen um ein handy zu knacken hängt vom besitzer ab. man hat dann halt zugriff auf kreditkarten infos, private informationen, ggf. geschäftliche informationen, worst case div. cloud stores mit xy-dateien (evtl sogar business anbindung), mail, evtl vpn netz und und und. nur weil du und ich nix interessantes drauf haben heisst das nicht, dass es nicht doch beim ein oder anderen was interessantes zu holen gäbe.
@Jan: Und wenn der Wert des Inhaltes meines Handys, was auch immer es ist, mehr wert als 700€ ist?
Mich schockt das nun nicht wirklich was der CCC da herausgefunden hat. Der Wahnsinn – Fingerabdrücke kann man reproduzieren ?
Das man in einem Mainstream Produkt nun nicht die höchste Sicherheitsstufe des amerikanischen Präsidenten erwarten kann sollte jedem einleuchten. Ohne Ahnung von Biometrischen Produkten zu haben gehe ich mal davon aus das ein Sensor der zum Fingerabdruck noch Puls, Temperatur und was weiß ich vergleicht sehr wahrscheinlich wesentlich teurer ist als die Art des im iPhone verbauten. Möglicherweise ist auch die Größe, Bauart, Stromverbrauch etc. ungeeignet um in einem leichten, dünnen, schmalen, kompakten Smartphone platz zu finden.
Abgesehen davon frage ich mich ob der gemeine Handtaschendieb diesen Aufwand betreibt, möglicherweise hat er auch gar keine Möglichkeit einen Fingerabdruck zu nehmen (ggf. durch Verwischen der Tasche / Case in dem das iPhone ist) so das sicher nicht 100% gegeben ist das man grundsätzlich den Sensor auf die Art und Weise übertricksen kann. Sicher – hat man es auf jemand bestimmten abgesehen ließe sich die beschaffung eines Fingerabdrucks und Diebstahl des iPhones planen… aber nunja.
Zudem kann ich vielleicht auch einen Finger zum entsperren benutzen der auf dem Telefon keinen Abdruck hinterlässt (kleiner Finger ist selten an den Oberflächen)
Mir scheint es hier eher ein abschweifen in 007 und Mission Impossible als das aufdecken einer hochgradig gefährlichen Sicherheitslücke. Klar sollte man nicht allem blind vertrauen, ggf. besser doppelt oder dreifach sichern (Code Sperre, langer Code, anderer Finger o.ä.) aber mehr als eine Sensibilisierung ruft das bei mir nicht hervor.
@jan…es gab schon mehere die unschuldig auf guantanamo etc.pp gelandet sind…vielleicht weil sie mit den falschen freunden in kontakt waren…vielleicht weil sie in irgendein raster passten, weil sie systemkritisch sind/waren statt mit der welle des „ist mir alles egal“-river schwammen..macht wird ausgenutzt..nicht nur in amerika..ich denke, dass die angst dabei eher darum geht, dass z.b. polizei oder andere behörden passwörter erpressen…es gibt menschen die sich von apple nicht vorschreiben lassen möchten welche programme sie installieren dürfen und deshalb jailbreaken, was in einigen ländern unter strafe steht..da wäre es dann natürlich einfach den finger auf den sensor zu pressen, da man das gerät erstmal entsperren muss um zu sehen was drauf läuft…ich kann euch nur den roman von cory doctorow „little brother“ empfehlen..gerade für technies ist dieses buch sehr spannend geschrieben…ende des monats kommt davon die fortsetzung „homeland“ raus, welches sicher ebenso lesenswert sein wird…man muss sich nur orwells 1984 anschauen oder durchlesen um zu erkenne, dass die richtung die dort eingeschlagen wird, leider zum teil heute bereits realität ist…ich bin lieber übervorsichtig und überängstlich, statt später sagen zu müssen „ich hätte es ahnen oder gar wissen können wie es kommt“..
vor der nazi-zeit hätte sicher auch keiner damit gerechnet, dass solche greueltaten jemals in einer solchen dimension geschehen könnten…danach dachte man, dass sowas wie rassismus nie wieder passieren kann..das man nie wieder leute aufgrund ihrer rasse oder ihres glaubens ausgrenzen, töten oder anderes mit ihnen tun könnte..heute ist es bittere realität, wenn man sich die presse vor augen hält…ein muslim ist in der deutschen presselandschaft kein muslim, sondern ein islamist…es wird suggeriert, dass nur von muslimen gefahren ausginge…
bringt ein deutscher familienvater seine ganze familie oder seine tochter, frau, seinen sohn um, dann ist es laut der deutschen presse eine familientragödie. macht dies ein mensch, der auch nur arabisch oder türkisch aussieht, so ist es ein ehrenmord..
wir sehen also das morde verschieden bewertet werden. leider erkennt dies kaum jemand!