Fingerabdruck-Fälschung per Foto möglich

Sebastian Trepesch 23

Einige Premium-Smartphones bieten einen Fingerabdrucksensor, sowohl für das Entsperren des Gerätes, als auch als Passwort-Ersatz in Apps. Dieser Schutz kann schon mit einem Foto des Fingers ausgehebelt werden.

Aus einem Fingerabdruck – zum Beispiel auf einem Glas – lässt sich das Modell eines Fingers nachbauen, das zum Entsperren eines Smartphones ausreicht. Dies bewies der Chaos Computer Club (CCC) bereits im Herbst 2013 (siehe: Fingerabdrucksensor des iPhone 5s überlistet: „Ein Kinderspiel“). Für diese Methode benötigt man aber immer noch den Abdruck auf einem physischen Gegenstand.

Doch es reicht auch das Foto eines Fingers – das bewies der Hacker Starbug am Wochenende auf dem Chaos Communication Congress. Das Bild kann zum Beispiel in der Öffentlichkeit mit der Spiegelreflexkamera entstanden sein. Es ist aber auch denkbar, dass eine gehackte App auf die Smartphone-Kamera zugreift und die Gelegenheit bekommt, ein Foto von der Hand des Besitzers zu schießen. Zur Darstellung verwendete der Hacker ein Foto von Verteidigungsministerin Dr. von der Leyen. Funktionsfähig ist der zwar noch nicht, aus mehreren Bilder lasse sich jedoch ein kompletter Abdruck erstellen.

Nach der Bearbeitung des Scans oder Fotos eines Fingerabdrucks wird das Bild auf Folie gedruckt, auf eine fotosensitive Platte belichtet, entwickelt und geätzt. Mit Graphitspray und Leim oder Latex-Milch wird schließlich der Finger-Dummy erstellt. „Man kann das in der Küche machen“, sagt der Hacker. Ganz simpel ist der Vorgang aber nicht.

Der Vortrag im informativen, aber auch unterhaltsamen Video:

Gefahren von Kameras für (biometrische) Authentifizierungsverfahren [31c3].

CCC: Fingerabdruck nicht sicher

„Die Sicherheitsversprechen der Hersteller der Fingerabdrucksysteme dürften nun endgültig Makulatur sein“, kommentiert der Chaos Computer Club in einer Pressemitteilung die Demonstration. Der Hacker prophezeit: „Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen.“

Doch wer jetzt glaubt, nur der Fingerabdrucksensor sei unsicher, hat sich getäuscht: Auch die herkömmliche Passworteingabe ist unsicher. In dem Vortrag wird angesprochen, dass sich die PIN-Eingabe in der Sonnenbrille und sogar in der Pupille gut genug spiegeln kann. Also auch eine vermeintlich abgedeckte Eingabe eines Codes auf dem Smartphone kann die Nummer an „Interessenten“ mit entsprechend technischer Ausrüstung vermitteln.

Was bleibt uns da noch als Schutz? Das Smartphone selbst darf nicht in falsche Hände geraten!

Sebastian Trepesch
Sebastian Trepesch, GIGA-Experte für Apple-Produkte und -Software, Fotografie, weitere Technikprodukte.

Ist der Artikel hilfreich?

Kommentare zu dieser News

* Werbung