Chaos Computer Club knackt Apples TouchID
von caschy | 58 Kommentare
Apples Fingerabdruckscanner im neuen iPhone 5s ist anscheinend schon geknackt, die Experten des Chaos Computer Club haben ein entsprechendes Video heute bei YouTube veröffentlicht. Dazu genügte ein Fingerabdruck, der von einer Glasoberfläche abfotografiert wurde, um einen künstlichen Finger zu erzeugen. Damit waren sie angeblich in der Lage, ein iPhone 5s zu entsperren, welches mit TouchID geschützt war.
[werbung]
„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, meint der Hacker mit dem Pseudonym starbug. „Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen.“
Zum Nachbasteln:
Fingerabdruck des Benutzers mit 2400 dpi fotografieren, am PC reinigen, invertieren und auf Transparenzfolie drucken. Hier sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden, wie man seitens CCC mitteilt. Auf das Druckbild wird hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht.
Wird geladen ...
Der CCC mal wieder. Bin gespannt aufs ganze Video.
Für den kleinen James Bond zwischendurch?
Apple hätte lieber mal einen MicroSD Slot spendieren sollen.
Dieses Verfahren haben sie schon vor 1-2 Jahren bei Mythbusers angewendet um einen Fingerabdruckgerät einer Hoteltür zu öffnen.
http://dsc.discovery.com/tv-shows/mythbusters/mythbusters-database/fingerprint-scanners-unbeatable.htm
War doch keine Hoteltür aber ist ja egal, wo das Lesegerät dran war.
Sie haben sogar das Latex noch abgeleckt, weil das Lesegerät auch die Hautfeuchte berücksichtigt hatte.
Also nix neues, dass man so die Geräte überlisten kann.
Hier ein Video davon
https://www.youtube.com/watch?v=3Hji3kp_i9k
Das gabs doch schon mal vor ein oder zwei Jahren. Da hatte edeka ein Testlauf mit bezahlen per Fingerabdruck gemacht. Das wurde auf die gleiche oder ähnliche Weise „geknackt“. Hatten wir in der Uni mit diversen Laptops und Fingerabdruck-Lesern nachgemacht. Funktionierte mit 90% der Geräte. Da stellt sich mir auch die Frage ob es schwerer ist an mein Fingerabdruck ranzukommen oder mir beim Pin-eingeben zuzuschauen. Und wer sooo sensible Daten auf seinem Handy hat sollte dann entsprechen auf das Gerät aufpassen. Diebstahlschutz gibt’s ja per App.
Da stellt sich mir auch die Frage ob es schwerer ist an mein Fingerabdruck ranzukommen oder mir beim Pin-eingeben zuzuschauen
Definitv einfacher: Fingerabdruck. Besonders im engeren Umfeld. Bei einer Pin kann man lang warten bis sich vielleicht mal die Gelegenheit ergibt den Code zu erspähen. Beim Fingerabdruck kann man sich zu 100% sicher sein, dass man den auch bekommt wenn man es will. Wer also seinen iphone nutzenden Partner ausspionieren will und ein wenig technisches Geschick hat, kann das somit auch tun.
Hat nicht Apple in seiner Keynote geprahlt wie hochmodern dieses Touch-ID sein soll…
Es ist wie in der Politik. Erst gibt es eine Behauptung, dann wird sie widerlegt und dann wird behauptet das es so nie behauptet wurde.
In dem Sinne, schönen Abend noch.
Jedem Androiden User kann ich leichter sein Muster abgucken.
Fingerabdruck ist aber schon sicherer als ne 4 stellige Nummer und ich glaube nicht das der Touch ID Sensor die NSA aussperren soll, aber der normale Dieb oder Neugierige Arbeitskollege ist da schon vor einer Hürde gestellt!
Naja wenn ich ein 5S finde guck ich mal ob ich ein Abdruck finde und es entsperren kann bevor der Besitzer es mit „find my iPhone“ gesperrt hat 😉
apple könnte auch das Auge Lasern mit der Kamera. dumm nur wenn dir einer das Auge rausschneidet. Leute. regt euch ab. es ist ein nettes feature um ein iphone zu sperren. und im Normalfall kommt die Freundin so nicht an die iMessages ran. sinn erfüllt. wenn die Freundin ein Psychopath ist und an die Daten ran will, dann schafft sies. und wenn sie dich mit dem Messer bedroht und dich zwingt den brustwarzenscan durchzuführen.
Such dir besser eine neue Freundin.
In letzter Zeit zeichnen sie sich ja ganz besonders aus.
Geknackt wurde erstmal gar nichts. Es wurde lediglich kopiert was bei einem Fingerabdruck ja nicht schwer ist, wenn man uneingeschränkten Zugriff zu dem Finger hat. Und es ist seit Jahren, Jahrzehnten bekannt das die Sicherheit von Fingerabdrucksystemen relativ gering ist, da ein Fingerabdruck leicht nachzumachen ist.
Wenn man Apples Scanner austricksen könnte und die Form bzw. den Algorithmus zum lesen der Minutien manipulieren könnte, wäre von „knacken“ die Rede.
Und bei aller Hochachtung Caschy, der Titel und der Beitrag zeigt mir nur, dass dein Blog immer mehr an Qualität und Niveau verliert.
Ich weiß ja nicht vor was ihr alle eure Daten schützen wollt, aber für mich haben PIN oder Fingerabdruck am Handy ein Hauptziel, und zwar meine Daten zu schützen wenn ich es verliere oder es mir gestohlen wird. Und das ist in den allermeisten Fällen ausreichend; der Dieb wird das Gerät schnell verkaufen oder selbst nutzen wollen. Vielleicht mal versuchen einen Blick in die persönlichen Daten zu werfen, aber das wars dann auch. Ein Haustürschlüssel lässt sich auch sehr leicht nachmachen, scheint sich aber doch großer Beliebtheit zu erfreuen
Ein Fall für Captain Obvious. Mich interessiert ob es auch mit einem Fingerabdruck funktioniert den man vom iPhone abzieht.
Hm, dass ist dann wohl wirklich der Beweis dafür, dass ich alt werde. Diese Vorgehensweise hat der CCC schon vor Jahren demonstriert. Kein Plan mehr, zu welchem Anlass, aber es ist gefühlt wenigstens 4 Jahre her.
@MysticMagican
Die Methode ist im CCC-Artikel verlinkt, ist sogar noch älter: http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren
Zum Thema: in ein passwortgeschütztes System komme ich rein wenn ich das Passwort kenne. Einen Fingerabdruckscanner kann ich ‚überlisten‘ wenn ich den Fingerabdruck habe. Was ist da jetzt so neu dran? Der CCC hat bis jetzt nicht den schwierigsten Teil demonstriert, an meinen Fingerabdruck in 2400 dpi zu kommen.
Die Implementierung im iPhone ist für die Bequemlichkeit gedacht um grundlegende Funktionen zu entsperren. Nicht um wichtige Accountdaten zu schützen.
demnächst bietet bestimmt google an, neben Faktor 2 Autorisierung Speichelproben kostenlos einzuschicken zu können – im 2. Schritt kann man dann zu einer zertifizierten Stelle gehen und sich wieder Zugriff auf seine Daten/Konten verschaffen – allerdings gibts ne kleine Abtretungserklärung zur Anonymisierten Nutzung der Speichelprobe. Glaube nur so bekommt man wirklich Sicherheit – einen Fingerabdruck kann man schnell mal kopieren – beim ersten mal dauerts länger – aber hinterher habe das die Leute Drauf, wie mal kurz ne CD Rippen.
HO, Super Idee. Herrlich so etwas am Montagmorgen. Super Woche euch allen und schön auf das Phone aufpassen.
stimmt. wenn man kein fanboy ist und sachlich appleprodukte betrachtet dann is weder überraschend noch schlimm. halt ne lustige spielerei. wer ueberrascht ist dass es zu überlisten ist wird wohl der typische applekunde sein dessen informationsstand eh nich größer ist als die produktwerbung
„Chaos Computer Club knackt Apples TouchID“ das ist nicht euer ernst?!?
Unter „knacken“ verstehe ich etwas anderes.
Wenn man den 4 stelligen Code bei der Eingabe über die Schulter sieht und danach das iPhone klaut wird es auch geknackt, genauso natürlich wenn jmd euren Fingerabdruck kopiert. Also ich finde die Diskussion lächerlich.
Wenn der CCC die Touch ID ohne Fingerabdruck geknackt hätte, dass wäre was gewesen aber so sehe ich nur Neid auf Apple 😉