Einige Premium-Smartphones bieten einen Fingerabdrucksensor, sowohl für das Entsperren des Gerätes, als auch als Passwort-Ersatz in Apps. Dieser Schutz kann schon mit einem Foto des Fingers ausgehebelt werden.

 
Apple Touch ID
Facts 
Apple Touch ID
Release:20.09.2013
Hersteller:Apple
Mehr zu Apple Touch ID:News, Tipps, Special

Aus einem Fingerabdruck – zum Beispiel auf einem Glas – lässt sich das Modell eines Fingers nachbauen, das zum Entsperren eines Smartphones ausreicht. Dies bewies der Chaos Computer Club (CCC) bereits im Herbst 2013 (siehe: Fingerabdrucksensor des iPhone 5s überlistet: „Ein Kinderspiel“). Für diese Methode benötigt man aber immer noch den Abdruck auf einem physischen Gegenstand.

Doch es reicht auch das Foto eines Fingers – das bewies der Hacker Starbug am Wochenende auf dem Chaos Communication Congress. Das Bild kann zum Beispiel in der Öffentlichkeit mit der Spiegelreflexkamera entstanden sein. Es ist aber auch denkbar, dass eine gehackte App auf die Smartphone-Kamera zugreift und die Gelegenheit bekommt, ein Foto von der Hand des Besitzers zu schießen. Zur Darstellung verwendete der Hacker ein Foto von Verteidigungsministerin Dr. von der Leyen. Funktionsfähig ist der zwar noch nicht, aus mehreren Bilder lasse sich jedoch ein kompletter Abdruck erstellen.

Nach der Bearbeitung des Scans oder Fotos eines Fingerabdrucks wird das Bild auf Folie gedruckt, auf eine fotosensitive Platte belichtet, entwickelt und geätzt. Mit Graphitspray und Leim oder Latex-Milch wird schließlich der Finger-Dummy erstellt. „Man kann das in der Küche machen“, sagt der Hacker. Ganz simpel ist der Vorgang aber nicht.

Der Vortrag im informativen, aber auch unterhaltsamen Video:

Der externe Inhalt kann nicht angezeigt werden.

CCC: Fingerabdruck nicht sicher

„Die Sicherheitsversprechen der Hersteller der Fingerabdrucksysteme dürften nun endgültig Makulatur sein“, kommentiert der Chaos Computer Club in einer Pressemitteilung die Demonstration. Der Hacker prophezeit: „Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen.“

Doch wer jetzt glaubt, nur der Fingerabdrucksensor sei unsicher, hat sich getäuscht: Auch die herkömmliche Passworteingabe ist unsicher. In dem Vortrag wird angesprochen, dass sich die PIN-Eingabe in der Sonnenbrille und sogar in der Pupille gut genug spiegeln kann. Also auch eine vermeintlich abgedeckte Eingabe eines Codes auf dem Smartphone kann die Nummer an „Interessenten“ mit entsprechend technischer Ausrüstung vermitteln.

Was bleibt uns da noch als Schutz? Das Smartphone selbst darf nicht in falsche Hände geraten!