Chaos Computer Club knackt Apples TouchID

Apples Fingerabdruckscanner im neuen iPhone 5s ist anscheinend schon geknackt, die Experten des Chaos Computer Club haben ein entsprechendes Video heute bei YouTube veröffentlicht. Dazu genügte ein Fingerabdruck, der von einer Glasoberfläche abfotografiert wurde, um einen künstlichen Finger zu erzeugen. Damit waren sie angeblich in der Lage, ein iPhone 5s zu entsperren, welches mit TouchID geschützt war.

[werbung]

„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, meint der Hacker mit dem Pseudonym starbug. „Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen.“

ccc

Zum Nachbasteln:

Fingerabdruck des Benutzers mit 2400 dpi fotografieren, am PC reinigen, invertieren und auf Transparenzfolie drucken. Hier sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden, wie man seitens CCC mitteilt. Auf das Druckbild wird hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

58 Kommentare

  1. Bei Apple geht es nie um die Sicherheit, sondern um den Komfort. Und Sicherheit ist unkomfortabel.

  2. Freund: Dafür haben sie „Sicherheit“ aber bisschen häufig in den Keynotes erwähnt.

    • So gesehen ist ein mit TouchID gesichertes iPhone sicherer als eines ohne Code o.ä., da es doch etwas aufwändig ist, den Fingerabdruck zu vervielfältigen.
      Ob TouchID allerdings mehr Leute dazu animiert, einen Code einzustellen muss sich noch zeigen.

  3. Einfache Lösung, man nimmt einfach nicht seinen Finger sondern den Brustwarzenabdruck (geht wirklich)…. den Abdruck der Brustwarze hinterlässt eigentlich nirgendwo unabsichtlich 🙂

  4. schon sehr sehr peinlich für apple – aber war zu erwarten.

  5. wer will denn so einen Aufwand betreiben um an die Daten auf dem iPhone zu kommen?

  6. Ist das Video der einzige „Beweis“? Das sagt dann eigentlich erstmal nur aus, dass man mit einer Folie über dem Finger den Sensor bedienen kann. Ich würde das lieber glauben, als dass tatsächlich schon TouchID geknackt ist …

  7. Wärme und Pulsmessung als Sicherheitsmaßnahmen wären wohl das Mindeste gewesen…

  8. Also wer alles glaubt was Apple bei deren Keynotes sagt, dem ist nicht mehr zu helfen :’D Das was die dort machen ist ja schönreden deluxe…

  9. Und noch immer brauch der jenige das Smartphone – was er sich auch noch besorgen muss. Es war auch klar, das da kein hochsicherheits Sensor verbaut wird..

  10. Es war klar, das man das System umgehen können wird. Die Frage war nur wie hoch der Aufwand ist.

    Apple hat dahingehend auch keine Behauptungen gemacht. Die Behauptung war das der Fingerabdruck sicher im Gerät gespeichert ist und nicht ablesbar ist. Ich hoffe das ist dann auch so. Falls dies auch gehackt wird, ist das Feature für die Katze.

  11. wir brauchen den pe***is abdruck-scanner…!!!!

  12. Achso, btw:
    „Schade, dass man im Video keinen anderen Finger benutzt hat, als den, der eh eingerichtet war.“
    Er hat den Zeigefinger eingerichtet und den künstlichen Abdruck auf dem Mittelfinger gehabt.

  13. Nur Experten hier….

  14. eingerichtet mit zeigefinger, eingelockt mit mittelfinger (?) das is nich derselbe, oder muss ich (schon wieder) zum optiker?

  15. Auch die Frage den Finger mit 2400 DPI scannen. Da kann man den Nutzer auch KO hauen und seinen Finger ans Gerät halten. Das TouchID Vorteile im Komfort und Nachteile in der Sicherheit hat, sollte aber nun klar sein. Ultimative Sicherheit bedeutet dann ein langes Passwort das man jedesmal beim entsperren eintippt.

    Immerhin ist TouchID deaktivierbar und die anderen Methoden nutzbar.

  16. Das mit der Brustwarze hat doch was..

  17. Thomas Baumann says:

    Fingerabdruck Checks sind der größte Unsinn überhaupt!
    Man kommt so schnell an fremde Fingerabdrücke heran und alle „Lesegeräte“ die es gibt sind mehr als mangelhaft. Wer jetzt denkt Ja aber es gibt welche mit Pulserkennung bli bla blubb: Es reicht trotzdem eine simple Fotokopie des Fingerabdruckes aus. Und wenn nicht, Platinenmaterial bei z. B. Reichelt bestellen, belichten, ätzen, dünn Silikon drüber, fertig. Und genau das macht das Ganze so idiotisch, weil bei _Touch_screens haste die Fingerabdrücke meißt ja schon…

    Passend zu dem Thema (englisch): http://www.youtube.com/watch?v=3Hji3kp_i9k

  18. Wenn man als Use-Case den klassischen Fall nimmt der in 99% eintritt, ist der Fingerabdrucksensor trotzdem gut.

    Jemand klaut/findet ein iPhone und kommt dann durch den eingestellten Scan erstmal nicht in das System. Alternativ ist natürlich ein Passcode eingestellt. Ich behaupte das der Finder/Dieb das nun aufgibt und mit dem Gerät nichts mehr anfangen kann (dank iOS7, das es nicht mehr ermöglicht das Gerät wiederherzustellen ohne die AppleID).

    Fingerabdrucksensor ist eine bequeme Alternative zum 4-stelligem Passcode. Beides erhöht die Sicherheit enorm, ist aber natürlich nicht unknackbar.

  19. ja. das konnte niemand ahnen dass das kirmes feature zu ueberwinden ist. war eh genial wieviel zeit man sparen kann damit,statt tage des lebens zu verlieren durch die pineingabe. das nuss doch jeder erkennen dass der sensor allenfalls ein blender war um marketingtechnisch als innovativ zu wirken. die ja fuer viele soooo unmoegliche vorstellung dass die geheimdienste zugriff aufs fon haben koennte auch ein praktischer grund sein sowas in einem smartfon zu verbauen

  20. Der Passcode ist übrigens immer parallel zum Fingerabdruck. Ich kann nicht nur letzteres nehmen.

  21. Der CCC mal wieder. Bin gespannt aufs ganze Video.

  22. Für den kleinen James Bond zwischendurch?
    Apple hätte lieber mal einen MicroSD Slot spendieren sollen.

  23. Dieses Verfahren haben sie schon vor 1-2 Jahren bei Mythbusers angewendet um einen Fingerabdruckgerät einer Hoteltür zu öffnen.

    http://dsc.discovery.com/tv-shows/mythbusters/mythbusters-database/fingerprint-scanners-unbeatable.htm

  24. War doch keine Hoteltür aber ist ja egal, wo das Lesegerät dran war.
    Sie haben sogar das Latex noch abgeleckt, weil das Lesegerät auch die Hautfeuchte berücksichtigt hatte.

    Also nix neues, dass man so die Geräte überlisten kann.

    Hier ein Video davon
    https://www.youtube.com/watch?v=3Hji3kp_i9k

  25. Das gabs doch schon mal vor ein oder zwei Jahren. Da hatte edeka ein Testlauf mit bezahlen per Fingerabdruck gemacht. Das wurde auf die gleiche oder ähnliche Weise „geknackt“. Hatten wir in der Uni mit diversen Laptops und Fingerabdruck-Lesern nachgemacht. Funktionierte mit 90% der Geräte. Da stellt sich mir auch die Frage ob es schwerer ist an mein Fingerabdruck ranzukommen oder mir beim Pin-eingeben zuzuschauen. Und wer sooo sensible Daten auf seinem Handy hat sollte dann entsprechen auf das Gerät aufpassen. Diebstahlschutz gibt’s ja per App.

  26. Da stellt sich mir auch die Frage ob es schwerer ist an mein Fingerabdruck ranzukommen oder mir beim Pin-eingeben zuzuschauen

    Definitv einfacher: Fingerabdruck. Besonders im engeren Umfeld. Bei einer Pin kann man lang warten bis sich vielleicht mal die Gelegenheit ergibt den Code zu erspähen. Beim Fingerabdruck kann man sich zu 100% sicher sein, dass man den auch bekommt wenn man es will. Wer also seinen iphone nutzenden Partner ausspionieren will und ein wenig technisches Geschick hat, kann das somit auch tun.

    Hat nicht Apple in seiner Keynote geprahlt wie hochmodern dieses Touch-ID sein soll…

  27. Es ist wie in der Politik. Erst gibt es eine Behauptung, dann wird sie widerlegt und dann wird behauptet das es so nie behauptet wurde.
    In dem Sinne, schönen Abend noch.

  28. Jedem Androiden User kann ich leichter sein Muster abgucken.

  29. Fingerabdruck ist aber schon sicherer als ne 4 stellige Nummer und ich glaube nicht das der Touch ID Sensor die NSA aussperren soll, aber der normale Dieb oder Neugierige Arbeitskollege ist da schon vor einer Hürde gestellt!

    Naja wenn ich ein 5S finde guck ich mal ob ich ein Abdruck finde und es entsperren kann bevor der Besitzer es mit „find my iPhone“ gesperrt hat 😉

  30. apple könnte auch das Auge Lasern mit der Kamera. dumm nur wenn dir einer das Auge rausschneidet. Leute. regt euch ab. es ist ein nettes feature um ein iphone zu sperren. und im Normalfall kommt die Freundin so nicht an die iMessages ran. sinn erfüllt. wenn die Freundin ein Psychopath ist und an die Daten ran will, dann schafft sies. und wenn sie dich mit dem Messer bedroht und dich zwingt den brustwarzenscan durchzuführen.

  31. In letzter Zeit zeichnen sie sich ja ganz besonders aus.

  32. Geknackt wurde erstmal gar nichts. Es wurde lediglich kopiert was bei einem Fingerabdruck ja nicht schwer ist, wenn man uneingeschränkten Zugriff zu dem Finger hat. Und es ist seit Jahren, Jahrzehnten bekannt das die Sicherheit von Fingerabdrucksystemen relativ gering ist, da ein Fingerabdruck leicht nachzumachen ist.

    Wenn man Apples Scanner austricksen könnte und die Form bzw. den Algorithmus zum lesen der Minutien manipulieren könnte, wäre von „knacken“ die Rede.

    Und bei aller Hochachtung Caschy, der Titel und der Beitrag zeigt mir nur, dass dein Blog immer mehr an Qualität und Niveau verliert.

  33. Ich weiß ja nicht vor was ihr alle eure Daten schützen wollt, aber für mich haben PIN oder Fingerabdruck am Handy ein Hauptziel, und zwar meine Daten zu schützen wenn ich es verliere oder es mir gestohlen wird. Und das ist in den allermeisten Fällen ausreichend; der Dieb wird das Gerät schnell verkaufen oder selbst nutzen wollen. Vielleicht mal versuchen einen Blick in die persönlichen Daten zu werfen, aber das wars dann auch. Ein Haustürschlüssel lässt sich auch sehr leicht nachmachen, scheint sich aber doch großer Beliebtheit zu erfreuen

  34. Ein Fall für Captain Obvious. Mich interessiert ob es auch mit einem Fingerabdruck funktioniert den man vom iPhone abzieht.

  35. MysticMagican says:

    Hm, dass ist dann wohl wirklich der Beweis dafür, dass ich alt werde. Diese Vorgehensweise hat der CCC schon vor Jahren demonstriert. Kein Plan mehr, zu welchem Anlass, aber es ist gefühlt wenigstens 4 Jahre her.

  36. @MysticMagican
    Die Methode ist im CCC-Artikel verlinkt, ist sogar noch älter: http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren

    Zum Thema: in ein passwortgeschütztes System komme ich rein wenn ich das Passwort kenne. Einen Fingerabdruckscanner kann ich ‚überlisten‘ wenn ich den Fingerabdruck habe. Was ist da jetzt so neu dran? Der CCC hat bis jetzt nicht den schwierigsten Teil demonstriert, an meinen Fingerabdruck in 2400 dpi zu kommen.

    Die Implementierung im iPhone ist für die Bequemlichkeit gedacht um grundlegende Funktionen zu entsperren. Nicht um wichtige Accountdaten zu schützen.

  37. demnächst bietet bestimmt google an, neben Faktor 2 Autorisierung Speichelproben kostenlos einzuschicken zu können – im 2. Schritt kann man dann zu einer zertifizierten Stelle gehen und sich wieder Zugriff auf seine Daten/Konten verschaffen – allerdings gibts ne kleine Abtretungserklärung zur Anonymisierten Nutzung der Speichelprobe. Glaube nur so bekommt man wirklich Sicherheit – einen Fingerabdruck kann man schnell mal kopieren – beim ersten mal dauerts länger – aber hinterher habe das die Leute Drauf, wie mal kurz ne CD Rippen.

  38. HO, Super Idee. Herrlich so etwas am Montagmorgen. Super Woche euch allen und schön auf das Phone aufpassen.

  39. stimmt. wenn man kein fanboy ist und sachlich appleprodukte betrachtet dann is weder überraschend noch schlimm. halt ne lustige spielerei. wer ueberrascht ist dass es zu überlisten ist wird wohl der typische applekunde sein dessen informationsstand eh nich größer ist als die produktwerbung

  40. „Chaos Computer Club knackt Apples TouchID“ das ist nicht euer ernst?!?
    Unter „knacken“ verstehe ich etwas anderes.
    Wenn man den 4 stelligen Code bei der Eingabe über die Schulter sieht und danach das iPhone klaut wird es auch geknackt, genauso natürlich wenn jmd euren Fingerabdruck kopiert. Also ich finde die Diskussion lächerlich.

    Wenn der CCC die Touch ID ohne Fingerabdruck geknackt hätte, dass wäre was gewesen aber so sehe ich nur Neid auf Apple 😉

  41. war der CCC nicht mal der Club der sich mit „wichtigem“ beschäftigt hat?
    War ja klar, dass irgend jemand diese Methode des finger Abdruck reproduzierens auf den neuen Home Button anwendet. Hätte sowas aber eher von irgendwelchen Script Kiddies erwartet.

  42. Zum Thema Fingerabdruck bekommen:
    Habe ich das Handy habe ich auch fast sicher einen brauchbaren Fingerabdruck auf dem Gerät…

  43. Wie Michael und Oli schon geschrieben habe ist dies hier für mich kein Knacken. TouchID wurde vielleicht überlistet, mehr aber nicht. Wenn TouchID geknackt wäre würde man an die Daten auf dem A7 Chip kommen und sie auslesen können.

  44. Sieht bestimmt interessant aus, wenn du dein iPhone in der Öffentlichkeit entlockst

  45. @Oli und Michael: wenn Apple das Ding damit bewirbt, dass es sich nicht so leicht knacken lässt und der CCC zeigt genau das (nein, der CCC braucht keinen vollständigen Zugriff auf den Finger wie hier behauptet, bitte lest den Text vom CCC). Von daher denke ich schon, dass man durchaus von Knacken reden kann.

    Apple sagt Zugriff mit „totem Finger nicht möglich“ und es geht sehr wohl mit einem Stück Plastik und anhauchen, dann kann man imo durchaus von gehackt reden.

  46. @feuerwehrmann82: das heißt, wenn ich durch Lücken auf einem Server Zugriff komme, ohne das Passwort eines Nutzers direkt zu kommen, dann gilt das nicht als gehackt?

    Ich bin ja selber Apple-Fanboy, aber wie manche hier nicht einsehen wollen, dass die Technologie gehackt ist, finde ich schon sehr seltsam.

  47. So ein Schwachsinn! … diese Nerds haben doch jeglichen Sinn zur Realität verloren. Erstmal an den Fingerabdruck ran kommen, da muss man es schon über längeren Zeitraum ernst meinen. Da hat wohl jemand zu viele Spionage-Filme gesehen? Zumal es eh nicht besonders sinnvoll ist, sein Smartphone so abzuriegeln, wie sollte der Notarzt im Falle eines Falles Angehörige verständigen?

  48. Der Fingerabdruck befindet sich meistens am Gerät, der Dieb muss nun geschickt sein und diesen Scannen und auf Folie drucken. Dann aber ist das Gerät hoffentlich schon per iCloud blockiert. TouchID soll für die Leute sein, die gar keinen Code verwenden (angeblich jeder zweite), für die ist es ein Plus an Sicherheit. Für alle anderen nur, wenn sie parallel noch den Code verwenden.

    Gab es da nicht eine Story, wo man den Zugangscode am PC Bruteforcen konnte? Cashy? Recherche?

  49. Das ist doch nur Android-Fanboy gehate.. Apple hat einfach wieder Innovationsgeist bewiesen und sich in Neuland gewagt und dadurch voll ins Schwarze getroffen.. So ein Schutzmechanismus bringt mir als High-Tech-User wieder ein Stück Sicherheit zurück.. Ich bin gespannt wann die ersten Android-Hersteller versuchen dieses Apple-Feature schlecht zu kopieren und dafür auch noch Millionen an uns zahlen dürfen 😀

  50. Ich sag mal, das war voraus zu sehen, ist ja ein alt bekanntes Problem mit dem nachgemachten Finger für viele Reader – warum also die Aufregung???

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.