iPhone 5s Fingerabdruckleser: so wurde er umgangen (und eine kurze Meinung dazu)

Dass ein Mitglied des Chaos Computer Clubs den Fingerabdruckleser des iPhone 5s umgangen hat, dürfte mittlerweile im hintersten Winkel des Internets angekommen sein. Entglorifiziert ist die Sicherheit, zurück bleibt die Erkenntnis, dass der Fingerabdruckleser im iPhone 5s nicht vor ambitionierten Tüftlern halt macht, sondern lediglich etwas für den faulen Nutzer ist.

Bildschirmfoto 2013-09-25 um 15.27.53

[werbung]

Denn wenn 50 Prozent aller Benutzer im Vorfeld keine Sperre nutzten, nun durch den Fingerabdruckleser aber eine eingerichtet haben, dann ist das schon einmal ein ganz großer Fortschritt. Ich verstehe beide Seiten. Den faulen Nutzer, der seinen Finger zum dutzendfachen Entsperren täglich auf das iPhone 5s legt und natürlich auch den sicherheitsbewussten Anwender, der davon ausgeht, dass seine Fingerabdrücke von Gläsern extrahiert werden, um diese in einen künstlichen Finger umzuwandeln.

IMG_7965

Alternativ kann man auch gerne die Geschichte aus der Kiste holen, dass so ein mittels Fingerabdruck gesichertes Smartphone unter Gewalt sicherlich schneller mit dem Finger entsperrt werden kann, als wenn derjenige mit James Bond-Ambitionen sein Passwort „vergessen hat“.

Lange Rede, kurzer Sinn: entscheide, ob du ein fauler Anwender bist – oder ob du es sicherer magst. Dann ändere aber auch bitte den vierstelligen Pin in eine längere Kombination. Dennoch sollte Apple folgenden Slogan auf der Homepage überdenken: „Halte einfach deinen Finger auf die Hometaste und schon wird dein iPhone entsperrt. Das ist praktisch und extrem sicher“. Extrem sicher ist es nämlich nicht. Eine Info noch: nach fünfmaligen Auflegen eines falschen Fingers muss der Code eingegeben werden. Eben getestet. Aber ich schweife ab.

Es gibt nun ein Video, welches den genauen Vorgang widerspiegelt. Wie ist starbug vorgegangen, um das iPhone 5s zu entriegeln? Die technischen Hintergründe schlüsselten wir bereits auf, das Video gibt einen schönen Einblick in die rund 30-stündige Arbeit, die der Experte auf diesem Gebiet leisten musste.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

41 Kommentare

  1. Mythbusters haben direkt auf Projektorfolie gedruckt, dadrüber Leihm gegosssen und sich so den umweg über das Platinen belichten gespart 😉 falls jemand hier mal seine Kollgen ärgern möchte 😀

  2. bzgl. diebstahl durch handtaschendiebe oder ähnlichem…die sind wohl eher an dem iphone, als an deinen daten interessiert..von daher würden diese wahrscheinlich einfach das iphone über itunes als neues iphone konfigurieren (selbst wenn dies gesperrt würde und nur mit dem fingerabdruck ginge, gäbe es sicher bald hacks die das umgehen) und schon kann er es nutzen oder eben halt verkaufen…wo bleibt mir da das mehr an sicherheit..die meisten normalen diebe interessieren sich für das schnelle geld durch den weiterverkauf, nicht für die daten des bestohlenen..interessant ist der fingerabdruck wirklich nur für behörden..und wer glaubt, dass z.b. der bnd sauberer wäre als die nsa, dem ist auch nicht mehr zu helfen…

  3. ich krieg kopfschmerzen, wenn ich die kommentare lese.. lauter profis hier oioi 😀

    alles, was der mensch gemacht hat, war zu zeigen, dass und wie man den sensor überlisten kann und das wurde dann durch die presse aufgeblasen.

    es werden sicher keine 30 stunden benötigt um das zu reproduzieren, jetzt da bekannt ist, wie es geht. ob es sich lohnt, den aufwand zu betreiben ist auch völlig irrelevant, denn ziel wars nur zu zeigen, d a s s es geht (proof of concept).

    die sensordaten landen nicht bei apple, sondern werden im gerät intern, verschlüsselt, gespeichert. ob das gut ist sei mal dahin gestellt.

  4. @Sebastian Schumacher … I know, aber 30 Stunden sollten reichen um festzustellen das mein Smartphone gestohlen wurde und um ggf. eine Fernlöschung durchzuführen. Unabhängig davon sollte sich jeder, egal wie man das Smartphone einsetzt Gedanken darüber machen welche Daten unbedingt auf ihm gespeichert werden müssen und welche auf einem z.B. Zettel besser aufgehoben sind.

    @caschy … Ich weiß das die Funktion deaktivierbar ist, finde es aber dennoch bedenklich soetwas überhaupt einzuführen. Es soll Nutzer geben, die das bezahlen per Fingerabdruck erstmal super genial finden und sich keine Gedanken über die Folgen machen.

  5. Übrigens:
    die kompletten Preisegelder von http://istouchidhackedyet.com/ sind an die Raumfahrtagentur in Berlin gegangen. Finde ich gut 🙂

  6. GrosserUnhold says:

    Dann wird das nächste iPhone wohl einen Gentest bekommen müssen 🙂

  7. Bevor gleich irgendwer anfängt von Alien’s und Entführung zu sprechen klinke ich mich besser aus 😉 Das wird mir alles zu unheimlich 😛

  8. Hier sind mal wieder die größten Leuchten unterwegs. Habt ihr euch überhaupt die Pressemeldung vom CCC durchgelesen? Es geht gar nicht darum den „Hack“ zu glorifizieren, sondern dem Fanboyhaufen zu zeigen, dass Apple nur mit Wasser kocht und man mit viele Jahre alten und bekannten Methoden vermeintlich sichere Systeme ohne Probleme umgehen kann.

    Außerdem versucht man die Leute auf Nutzung biometrischer Merkmale zu sensibilisieren, wenn der Fingerabdruck/Iris etc… erstmal im System ist bekommt man ihn nicht so schnell da raus. Ich will gar nicht die Apple –> NSA Geschichte an die Wand malen, aber das ist nur der Anfang und es wird 100%ig Systeme geben, mit welchen sich sehr viel Schabernack treiben lässt. Mich würde es auch nicht wundern wenn man via Jailbreak doch etwas mehr Infos aus dem Sensor bekommt als Apple behauptet, dann kann man zumindest eine schöne Fingerabdrucksammlung seines sozialen Umfeldes anlegen – als Vorsorge für die Zukunft.

  9. grundsätzlich hat caschy recht dass ein fingersensor sicherer ist als gar keine sperre. dass die biometrischen daten auf dem handy bleiben kann sein, muss aber nicht. für den anbieter ist es sicher kein problem diese irgendwie auch heimlich zu übertragen. auf die aussagen von apple zu vertrauen halte ich für naiv. das problem sehe ich weniger in nsa usw solange man nicht wirklich ganz ganz böse sachen macht sondern darin dass sich auch dritte zugang verschaffen könnten und damit unangenehme dinge tun können. umso mehr als diese technik auch die türe zu käufen, vertraglichen abschlüssen usw öffnet. dass eine möglichkeit gefunden wird sehe ich als sehr „sicher“ an, vor allem wenn man sich mal vor augen führt wie schnell in der vergangenheit das unknackbare bereits geknackt wurde. vielleicht kann der sensor elektronisch bzw datentechnisch sogar ausgelesen werden wenn man ihn auf deaktivieren stellt, denn daran wird sich sicher niemand aus der hackerszene stören. deshalb wäre die an sich gute idee für mich ein zusätzlicher grund das handy „nicht“ zu erwerben.

  10. komisch nur, dass niemand über den Amerikaner berichtet der einen wirklichen bug in ios7 gefunden hat mit dem man mit paar Eingaben sowohl Passwort als auch den Fingerprint Scanner einfach umgehen kann. DAS ist wirklich sehr viel einfacher und für jeden auch ohne Holzleim möglich. Dass wird hier leider überall unter den Tisch gekehrt…..

  11. Ich lauf einfach den ganzen Tag mit Handschuhen rum. Dann hinterlasse ich keine Fingerabdrücke die man duplizieren könnte… SCHACH MATT

  12. @Dirk

    Was fürn schabernack kann man denn bitte mit meinem Fingerabdruck anfangen?

  13. Das Einzige was sicher ist, ist der Tod und die Setuer !!
    Das weiß doch jeder, also warum regt Ihr Euch auf??

  14. „Steuer“ war gemeint ! 😉

  15. Zur Thematik Fingerabruck auf Appleservern:
    Vielleicht erinnern sich noch einige daran, daß die GPS Daten auch eine Weile nicht nur auf dem iPhone waren. Es ist also möglich.
    Punkt 2:
    Das Blöde an der Geschichte ist, daß Sicherheit suggeriert wird, die nicht existiert. Dabei geht es nicht um 30 Stunden Arbeit (die können auch im Vorfeld gemacht werden, so daß das Handy nur kurz weg sein muß), sondern nur darum, wie sicher Apple die Eigenschaft beschreibt. Es ist nicht sicher, es ist vielleicht sicherer als anderes. Und genau so sollte es beschrieben werden.
    Punkt 3:
    Was man damit machen kann? Gute Frage. Da wir aber in einer Welt leben, in der man nahezu überall verarscht und ausgenommen wird (z.B. Rechnungen, wo Ölwechsel draufstehen, die aber mit schlechtem Öl durchgeführt wurde). Skepsis, gerade gegenüber riesigen Konzernen, sollte daher angebracht sein. Die existieren nicht zu unserem Wohl, sondern um Geld zu verdienen (was sie nicht abwerten soll).

  16. @Fraggle

    Punkt 2: Ich möchte behaupten das es derzeit die sicherste Möglichkeit ist.
    Gehen wir die Möglichkeiten doch einfach mal durch:
    Keine Sperre – Das eben nix
    Pin Sperre – Die wahrscheinlichkeit das mir einer über die Schulter schaut beim Eintippen ist recht hoch. Noch dazu hinterlasse ich ja gezielte Fingerabdrücke auf dem Touchscreen. Auf meinem Display kann man erkennen an welcher position sich die 4 zahlen befinden, die mein Gerät entsperren.
    Muster Sperre – siehe Oben
    Alphanumerisches Passwort – siehe oben, wobei die Abdrücke zuvernachlässigen sind
    Touch ID – Neben einem verwertbaren Fingerabdruck, wenn nämlich
    mehrere Fingerabdrücke über einander liegen wird das scannen doch recht schwierig. Desweiteren kann man ja auch den Ringfinger für Touch ID nutzen und das Gerät mit dem Daumen bedienen. Muss noch jemand so viel Zeit investieren diesen Fingerabdruck zu fälschen.

    zu Punkt 3:
    Also keiner weiss was man damit machen kann, aber jeder weiss das es schlecht ist, also was man da vielleicht machen könnte? Das mal ne logik

  17. @FlyingT wenn zb eine als sicher eingestufte technik als autorisierung für zahlungen eingesetzt wird kann diese missbraucht werden. beispiel „elektronischer personalausweis“ der offiziell als sicher eingestuft wurde, es aber nicht ist. das heißt: jemand benutzt gehackte daten für die man dann aber als korrekter eigentümer in die pflicht genommen wird. demail usw ….

  18. @Dirk

    Kannst du mir kurz erklären wo sich das Angriffsszenario von den derzeitigen Alternativen unterscheidet?

  19. „Hier sind mal wieder die größten Leuchten unterwegs. Habt ihr euch überhaupt die Pressemeldung vom CCC durchgelesen? Es geht gar nicht darum den “Hack” zu glorifizieren, sondern dem Fanboyhaufen zu zeigen, dass Apple nur mit Wasser kocht und man mit viele Jahre alten und bekannten Methoden vermeintlich sichere Systeme ohne Probleme umgehen kann. “

    Obige Aussage von Bernd sagt eigentlich alles. Ich nutze neben einem iPhone 5 auch mein Android in Form von einem Xperia Z1, zuvor HOX etc. pp. Ich erinnere mich auch noch gut an die Gesichtserkennung von Google 😀

    Aber davon abgesehen bewirbt Apple und auch die Hardcore-Fans, eben diese Produkte mit dem Plus an Wertigkeit, dem Plus an Qualität, welche das Plus an Euros/Dollars rechtfertigen. Allgemein geht das auch auf, grob betrachtet: es ist wertiger, ein passables Design, dazu recht praktische Funktionen (gemäß meinem Geschmäckle). Aber hier ein Fingerabdruck-Sensor der bekannte Fehler wiederholt und gleichsam ein Plus an Sicherheit suggeriert? Besser als gar keine Sicherheit, ist immer noch der Verzicht auf ein Smartphone mit persönlichen Daten. Dies hier ist ein Plazebo. Geht es den werten Nutzern des iPhone 5s um die Sicherheit gegenüber der Freundin oder dem kleinen Bruder, oder möchte man im Falle eines Verlust zumindest die bestmögliche Sicherheit besitzen, zumindest solange bis man das Gerät aus der Ferne – falls noch möglich – zu löschen vermag?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.