Digitalisierte Fingerabdrücke auf Android-Smartphones nicht sicher

AuthentifizierungSicherheit
samsung-fingerabdruckscanner (Bild: CNET/CBS Interactive).

Eines der Verfahren erlaubte Spezialisten sogar das Sammeln von Fingerabdrücken in großem Umfang aus der Ferne. Von der Schwachstelle betroffen sind etwa das HTC One Max und das Samsung Galaxy S5. Ein Hacker benötigt nur System-Rechte für uneingeschränkten Zugriff auf alle erfassten Fingerabdrücke.

Zwei Forscher des Security-Unternehmens FireEye haben verschiedene Methoden erpobt, um digitalisierte Fingerabdrücke von mit biometrischen Scannern ausgerüsteten Android-Smartphones zu erbeuten. Eines dieser Verfahren, das Tao Wei und Yulong Zhang “Fingerprint Sensor Spying Attack” tauften, ermöglicht es ihnen sogar, “aus der Ferne in großem Umfang Fingerabdrücke” zu sammeln.

Unter anderem sind von dieser Lücke das HTC One Max und das Samsung Galaxy S5 betroffen. Die Attacke ermöglicht es einem Angreifer, unbemerkt ein Fingerabdruckbild von diesen Geräten zu entwenden, da die Smartphone-Hersteller den Sensor nicht komplett absichern.

Bei einigen Geräten seien dazu System-Rechte ausreichend, führen die Forscher weiter aus. Das heißt, dass das Risiko eines Angriffs bei gerooteten Android-Smartphones sogar noch größer ist als bei nicht entsperrten Geräten. Nach einer erfolgreichen Attacke erfasst der Sensor eines kompromittierten Geräts im Hintergrund auch weiterhin die Fingerabdrücke aller den Sensor nutzenden Personen.

“Bei diesem Angriff fallen die Fingerabdruckdaten der Opfer direkt in die Hände der Angreifer”, sagte Zhang. Der Angreifer kann die Fingerabdruckdaten dann für seine Zwecke verwenden. Digitalisierte Fingerabdrücke werden nicht nur zum Entsperren eines Mobilgeräts verwendet, sondern auch für die Autorisierung von mobilen Bezahlvorgängen oder gar zur Identifizierung von Personen.

Die Forscher haben die betroffenen Hersteller informiert. Ihnen zufolge haben diese auch schon Updates für ihre Geräte zur Verfügung gestellt. Weitere Einzelheiten zu den Forschungsergebnissen, die auch Sicherheitslecks von Fingerabdruckscannern in High-End-Notebooks umfassen, wollen Zhang und Wei auf der Konferenz Black Hat in Las Vegas vorstellen.

Welche Anbieter sicherer sind als andere, wollten die beiden FireEye-Mitarbeiter nicht preisgeben. Auf Nachfrage von ZDNet.com erklärt Zhang nur, dass Apples iPhone “recht sicher” sei, da es die Fingerabdruckdaten des Scanners verschlüsselt. “Selbst wenn der Angreifer den Sensor direkt auslesen kann, erhält er ohne den Kryptographieschlüssel nicht das Fingerabdruckbild.”

Die Forscher empfehlen, nur kontinuierlich aktualisierte Android-Geräte mit Fingerabdruckscannern einzusetzen. Überdies sollten Nutzer nur Apps aus vertrauenswürdigen Quellen installieren – ein Rat, der prinzipiell für alle Mobilgeräte gilt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen