Fingerabdruckscanner in Android-Smartphones liefern Angreifern gespeicherte Abdrücke der Nutzer
Die Authentifizierung über Fingerabdruckscanner in Smartphones ist nicht zwangsläufig sicherer als die Eingabe eines Zugangscodes, aber ein ganzes Stück bequemer. Sie zu überlisten ist technisch ohne allzu großen Aufwand möglich, teilweise genügt eine nach einem Foto angefertigte Attrappe, um Zugang zum Smartphone zu bekommen. Eine weitere Schwachstelle wurde nun auf der Black Hat Security-Konferenz aufgedeckt. Diese behandelt weniger die Überlistung der Scanner, sondern beschäftigt sich vielmehr mit dem Diebstahl der Fingerabdrücke von den Geräten.
Gezeigt wurden verschiedene Angriffe, die nicht nur die Authentifizierung bei Bezahlvorgängen umgehen, sondern eben auch die gespeicherten Fingerabdrücke abgreifen können. Betroffen sind hier nur Fingerabdruckscanner in Android-Geräten, Touch ID von Apple benötigt auch bei direktem Zugriff auf den Scanner einen Crypto Key, wie Yulong Zhang gegenüber ZDNet feststellt.
Ganz so wild ist die Sache im konkreten Fall allerdings nicht. Zwar zeigten sich Galaxy S5 und HTC One Max anfällig für die Angriffe, die entsprechenden Lücken wurden allerdings bereits geschlossen, sodass Nutzer mit aktueller Software keine Gefahr laufen sollten, dass ihre Fingerabdrücke von anderen eingesehen werden können. Dennoch zeigt so eine Lücke, wie schwierig es für die Hersteller ist, solche Features sicher umszusetzen. Wird ein Passwort abgegriffen, ist dies zwar ärgerlich, aber es kann geändert werden. Mit einem Fingerabdruck sieht es da anders aus, diesen hat man nur einmal und kann ihn auch nicht ändern.
„Mit einem Fingerabdruck sieht es da anders aus, diesen hat man nur einmal und kann ihn auch nicht ändern.“
Mensch Sascha, nur weil du nur mit einem Finger tippst, heißt das ja nicht, dass andere nicht mehr Optionen hätten. SCNR
„Die Authentifizierung über Fingerabdruckscanner in Smartphones ist nicht zwangsläufig sicherer als die Eingabe eines Zugangscodes“
Euphemismus? Wenn man dazu noch das Zeugnisverweigerungsrecht ansieht, ist es wahrscheinlich sogar andersrum
Ich habe 10 Finger, also kann ich 10x meinen Zugang ändern 😉
LOL Sascha, deinen Fingerabruck habe ich jetzt. Ich lieg hier lachend auf dem Flur ihr Security Master
@Michael: Viel Spaß damit. Warum Du ihn so lustig findest, darfste aber ruhig erklären. Also falls du vor lauter Lachen auf dem Flur noch dazu kommst. Soll ja auch ganz schön anstrengend sein.
@2Cent:
Das Zeubnisverweigerungsrecht gilt nicht für physikalische Dinge 😉
@ Sascha verstehe ich nicht
@Rroland Pofallahr Sascha hat gerade den Vogel abgeschossen, gewarnt man könnte Handys mit Fingerabdrucksperren überlisten – und den Artikel mit seinem eigenen Fingerabdruck ausgeschmückt.
@Fraggle: Weshalb der nette Beamte auch mal unter Zwang deinen Finger auf dein Smartphone drücken darf, man ihm ein Passwort aber nicht geben muss. Das war genau was ich meinte. Von der Tatsache, dass man seine Abdrücke ohnehin überall hinterlässt, brauchen wir ja gar nicht erst anfangen.
Die Analogie ist übrigens, dass man auch zur Blutabnahme nach einer Trunkenheitsfahrt gezwungen werden kann, obwohl einen das sehr wahrscheinlich auch selbst belastet.
@Sascha: Kannst du nicht nochmal ein besser fokussiertes Bild mit höherer Auflösung zur Verfügung stellen? 😀
Warum Angst um gefälschte Finger haben, die Samsung Scanner (S5 mini in diesem Fall) erkennen ja kaum das Original.
Es wird doch wohl nicht der Mittelfinger sein, den uns der Sascha hier auf dem Bild verschmitzt entgegenstreckt? 😉
lol
@2Cent:
Sorry, mißverstanden. Muß wohl an der Wärme liegen.
„Zwar zeigten sich Galaxy S5 und HTC One Max anfällig für die Angriffe, die entsprechenden Lücken wurden allerdings bereits geschlossen, sodass Nutzer mit aktueller Software keine Gefahr laufen sollten, dass ihre Fingerabdrücke von anderen eingesehen werden können.“
Toll. Das grundlegende Problem bleibt doch weiter bestehen – Zugriff ist weiterhin durch Fehler in Software möglich, da die Abdrücke nicht durch Hardware kryptographisch gesichert sind. Es muss nur eine andere Lücke gefunden werden. Langsam spiele selbst ich, als ehemals glühender Android – Verfechter, mit dem Gedanken zu iOS oder Windows zu wechseln. Bin mit meinem Nexus 6 eigentlich zufrieden, aber in letzter Zeit passiert leider zu viel Unheil im alten Lager.
Wenn schon Fingerabdrücke, dann 1.) nicht als alleiniges Merkmal und zweites nicht auf Geräten mit Onlineverbindung. Gerade auf Handy ist es ein leichtes zu kapern. Einfach eine App zum Download anbieten, die den Sensor testet.
Das ist wie mit der Kamera. Die kann leicht gekapert werden, so daß man in der Spiegelung der Iris die PIN-Nummer ablesen kann.
Also Männer, wenn jetzt einige scharf drauf sind den Author blöd anzumachen ist das ja schon nervig genug, wenn man sich die Kommentare durchliest…
Aber kann bitte jemamd einem Otto-Normalverbraucher wie mir ernsthaft erklären, wo das realistische (!) Risiko für mich ist, wenn ich mein Smartphone per Fingerabdruck sichere?
Ich habe mein Note 5 mit der Fingerabdrucksperre versehen, weil meine (persönlich) größte Sorge ist, dass ich es irgendwo verliere oder es mir von einem Unbekannten gestohlen wird. Wenn also niemand es ganz geziehlt auf mich persönlich abgesehen hat oder mich sogar gar nicht kennt und daher auch meinen Fingerabdruck nicht hat: wo bitte ist da das Problem!?
Ernst gemeinte Frage!
Auf mich wirkt das ganze immer irgendwie nach schlechtrederei, weil es könnte ja sein, dass James Bond persönlich meinen Fingerabdruck mit abnormal hohem Aufwand ausspäht und mir unbemerkt mein Handy entwendet, um sich dann diebisch über meine Einkaufsliste in Onenote zu freuen 😉
@Goldfinger Wenn deine Fingerabdrücke vom Gerät runter gezogen werden können (egal ob remote oder wenn es gestohlen wird / verloren geht, wobei Ersteres natürlich deutlich schlimmer ist) kann jemand diese Daten nutzen um sich als du auszugeben. Es mag nicht unbedingt heute so weit sein, aber Biometrie ist auf dem Vormarsch. In Windows 10 ist es mit Hello verankert, immer mehr Smartphones haben es… Irgendwann beißt es dich ins Gesäß. Du verwendest künftig den gleichen Abdruck mit allen Geräten. Wenn du dein Note mit Passwort verlierst kannst Du Dieses ändern.
@De Kubus:
Danke für die Antwort. Das ist eine Sichtweise, die ich noch nicht hatte…