AuthentifizierungSicherheit

Fingerabdrucksensor bei Smartphones mit Ausdruck überlistet

samsung-fingerabdruckscanner (Bild: CNET/CBS Interactive).
1 1 Keine Kommentare

Forschern der Michigan State University gelang dies mit leitfähiger Tinte der Firma AgIC . Sie drucken einen Fingerabdruck in originaler Größe auf glänzendem Papier aus. Damit entsperrten sie ein Samsung Galaxy S6 und ein Huawei Honor 7.

Forscher der Michigan State University haben erneut gezeigt, dass die von den Herstellern vielfach als besonders sicher gepriesenen Fingerabdrucksensoren die Erwartungen nicht erfüllen. Wie Cult of Mac berichtet, lassen sich bestimmte Smartphones mittels einer mit leitfähiger Tinte ausgedruckten Kopie eines Fingerabdrucks entsperren. Neben dem Fingerabdruck des berechtigten Besitzers, benötigen sei dafür, lediglich einen Tintenstrahldrucker und die richtige Tinte.

Forscher der Michigan State University haben mit diesen ausgedruckten Fingerabdrücken den Fingerabdrucksensor von Smartphones überlistet (Screenshot: ITespresso bei Youtube).
Forscher der Michigan State University haben mit diesen ausgedruckten Fingerabdrücken den Fingerabdrucksensor von Smartphones überlistet (Screenshot: ITespresso bei Youtube).

Die Wissenschaftler der Michigan State University haben für ihr Verfahren die frei erhältliche, leitfähige Tinte der Firma AgIC verwendet. Sie nahmen den Abdruck des linken Zeigefingers einer Person aus ihrem Team, druckten ihn in originaler Größe auf glänzendem Papier aus und legten das auf die Fingerabdrucksensoren eines Samsung Galaxy S6 und eines Huawei Honor 7, womit sie beide erfolgreich entsperrten.

Damit der Angriff erfolgreich ist, wird neben dem physischen Zugriff auf das Smartphone zwar auch ein hochauflösender Scan des Fingerabdrucks benötigt. Sich den auch aus der Ferne zu beschaffen, ist aber durchaus möglich, wie Forscher des Sicherheitsanbieters FireEye bereits im vergangenen Jahr bewiesen haben. Ihnen ist es gelungen, Fingerabdrücke von mit biometrischen Scannern ausgestatteten Android-Smartphones zu entwenden. Wie sie dabei genau vorgegangenen sind zeigten sie damals auf der Black-Hat-Konferenz. Zumindest im Bereich der Wirtschaftsspionage gegen Firmen ist das Angriffsszenario also nicht von der Hand zu weisen.

Der Chaos Computer Club hatte bereits 2013 gezeigt, dass sich auch der Fingerabdrucksensor bei Apple-Geräten, vergleichsweise einfach umgehen lässt. Es genügte bereits ein von einer Glasoberfläche abfotografierter Fingerabdruck, “um einen künstlichen Finger zu erzeugen” und ein “iPhone 5S zu entsperren, das mit Touch ID geschützt war”.

Der Sensor von Apple hatte zwar im Vergleich zu vorhergehenden Sensoren, eine höhere Auflösung, aber deswegen reichte es dennoch aus, den “Kunstfinger” ein wenig granularer zu erstellen. Ende 2014 erklärte der CCC dann auf dem Fingerabdruck basierende biometrische Sicherheitsmaßnahmen “endgültig zum Sicherheitsplacebo”. Begründet wurde das mit der Vorstellung weiterer praktischer Methoden zur Umgehung der Technik.

Spannend ist nun, ob Qualcomms neue Fingerabdruckscanner-Technologie Sense ID, die vom neuen Prozessor Snapdragon 820 unterstützt wird, eine wesentliche Verbesserung bringt. Bei ihr soll der Fingerabdruck mittels Ultraschall in 3D erkannt werden. Ein Ausdruck, bei dem ja lediglich das zweidimensionale Muster präsentiert wird, würde dann nicht mehr reichen. Eine funktionierende und sichere Technik wäre schon wünschenswert, da sich derzeit zahlreiche Anbieter, darunter Google, Samsung und Apple, in Position bringen, um diverse Bezahlvorgänge mit Smartphones lediglich durch einen Fingerabdruck zu autorisieren. Sollte das Verfahren leicht zu umgehen sein, wäre dieses Konzept grundsätzlich in Frage gestellt.

Ihr Vorgehen erklären die Forscher der Michigan State University auch in einem Video bei Youtube.

[mit Material von Christian Schartel, Übergizmo.de]

Journalist, Chefredakteur von ITespresso.de. Sucht immer nach Möglichkeiten und Wegen, wie auch kleine Firmen vom rasanten Fortschritt in der IT profitieren können. Oder nach Geschäftsmodellen, die IT benutzen, um die Welt zu verbessern - wenigstens ein bisschen.

Folgen