Samsung Galaxy S8: So einfach lässt sich der Iris-Scanner austricksen

Es ist altbekannt: Die Hersteller versprechen den Nutzern super sichere Entsperrmethoden für Smartphones & Co, Sicherheitsforscher belehren sie kurz darauf eines besseren. So nun auch im Fall des Galaxy S8. Die Gesichtserkennung hat sich von Anfang an einfach mit einem Bild überwinden lassen, auch wenn ein Software-Update für eine exaktere Abfrage sorgte. Sicherer soll hier der Scan der Iris sein. Ist er aber auch nicht, wie nun ein Video von starbug (CCC) zeigt.

Es gehört nicht viel dazu, ein Foto vom Auge im Infrarot-Modus einer Kamera aufgenommen, ein Ausdruck angefertigt (ironischerweise auch noch mit einem Samsung-Drucker) und eine handelsübliche Kontaktlinse auf den Ausdruck gepappt – schon ist der Drops gelutscht, wie es im Video heißt. Also auch nicht sicherer als Fingerprint oder Gesichtserkennung. Überrascht das? Nicht wirklich, allerdings sollten sich die Hersteller vielleicht einmal damit beschäftigen.

Es ist nicht allzu schlimm, wenn so ein „Sicherheits“-Feature nicht so sicher funktioniert. Wohl aber ist es schlimm, wenn es als sicher beworben wird – was die Hersteller wiederum sehr gerne machen. In vielen Fällen sind die „Sicherheits“-Features einfach nur eine bequemere Form des Entsperrens, da man eben keinen Code eingeben muss. Das heißt aber noch lange nicht, dass Menschen mit entsprechender Intention keine Chance haben, ein Gerät zu entsperren.

(via @Linuzifer)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. starbug ist der beste 🙂

  2. Sicherheit geht wohl immer auch ein wenig zu Lasten des Komforts, und ich bin der letzte, der anderen daraus einen Vorwurf macht. Aber gerade mit Blick auf das Smartphone scheint mir die Einrichtung eines entsprechenden Codes noch immer die beste Methode zu sein, die Daten vor unbefugtem Zugriff zu schützen. Die biometrischen Merkmale des Besitzers kriegt man irgendwie immer vor die Linse oder auf den Sensor. Darum nutze ich diese „Komfortmerkmale“ auch nur innerhalb von Apps o.ä. und setze beim Entsperren des Smartphones nach wie vor auf einen Entsperrcode.

  3. Erinnert stark an die Fingerabdrücke und dem Holzleim. Wenn man es komfortabel haben möchte geht man immer ein Risiko ein. Am sichersten bleibt halt ein gutes Passwort, sofern es nur im Kopf gespeichert ist.

  4. „Die biometrischen Merkmale des Besitzers kriegt man irgendwie immer vor die Linse“
    Ich gehe mal davon aus, dass das Foto unbedingt im Infrarot-Modus einer Kamera gemacht werden muss und Smartphones das im Normalfall nicht haben – sonst hätten die das Foto selbst ja auch direkt mit einem Smartphone gemacht. Somit dürfte es im Alltag wohl nicht so einfach sein, überhaupt an ein Foto der Iris zu gelangen. Erst recht, wenn man Brillenträger ist und die Spiegelungen auf der Brille stören.

    Es kommt aber auch immer auf das Umfeld an: Ich nutze lieber den Fingerabdruck, denn beim PIN oder Entsperrmuster braucht nur jemand zuzuschauen. Im ÖPNV beispielsweise nicht immer so einfach zu vermeiden. Somit empfinde ich die biometrischen Merkmale als sicherer, weil es doch deutlich aufwändiger ist, an meinen Fingerabdruck oder ein Foto meiner Iris zu gelangen. Sicherlich nichts für den Gelegenheitsdieb.

  5. @SteeBee: Dem Artikel des CCC zufolge scheint man den Infrarot-Modus wohl nicht zwingend zu benötigen. „Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten“. Nur bei dunklen Augen ist es damit wesentlich einfacher, die Struktur der Iris aufnehmen zu können – und das soll dann auch auf 5m Entfernung funktionieren.
    http://ccc.de/de/updates/2017/iriden

  6. Hat den jede Kamera so ein Infrarot Modus? Muss ehrlich sagen dass ich von diesem Modus zum ersten mal höre. Wäre interessant zu wissen unter welchen Umständen es auch so geht .

  7. @Daniel: Einen Nacht- bzw Infrarotmodus sollte wohl fast jede Digitalkamera besitzen. Normalerweise haben diese ja einen Infrarotfilter, der bei diesem Vorhaben hier stört. Smartphones hingegen besitzen diesen für gewöhnlich nicht. Der CCC-Artikel ist etwas genauer als die Zusammenfassung hier.

  8. Laptop auf dem ADF abgelegt, der würde was von mir zu hören bekommen..

  9. Ich vertraue immer noch gerne auf mein Smartband als trusted bluetooth device. Wenn das Teil (was ich 24/7 trage) in der Nähe ist, entsperrt das Handy direkt.
    Das Band kann halt nicht einfach so nachgemacht oder unbemerkt entwendet werden (höchstens im Schlaf). Für mich ist das komfortabel und sicher genug. 🙂

  10. Das erste Flagship Phone mit Iris Erkennung? Was ist mit dem Lumia 950 oder dem Elite x3?

  11. @SteeBee: Gerade in der Öffentlichkeit ist das mit den „Zuschauern“ in der Tat ein Problem, das kann man aber mit einem entsprechend langen Code zumindest erschweren – oder auch einfach „gucken, dass keiner guckt“. Und ich stimme dir zu, dass es grundsätzlich schwieriger sein mag, an deinen Fingerabdruck oder an ein Foto deiner Iris zu gelangen. Aber wie sieht es aus, wenn du zum Beispiel einen Unfall hast, vielleicht mal etwas mehr getrunken hast oder Opfer eines Raubüberfalles wirst? Da ist bei genügend krimineller Energie schnell mal eben dein Finger auf den Sensor gedrückt und das Smartphone ist offen. Das mag jetzt weit her geholt klingen, aber diese Gefahr halte ich für deutlich realistischer als den Diebstahl des Smartphones durch jemanden, der kurz zuvor gesehen hat, wie ich den Pincode eintippe.

  12. Klingt lustig aber wie wäre es eine Erkennung durch ein Grimmassenschneiden umzusetzen. Wie will ein Unbefugter an eine Grimasse kommen, die ja auch nur speziell für den Zweck gezogen wird…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.