Schon kurz nach dem Verkaufsstart des Samsung Galaxy S5 wurde der Fingerabdrucksensor von einem Mitarbeiter des deutschen IT-Sicherheitsunternehmens SRLabs geknackt. Dabei wurde die gleiche Technik angewandt wie beim Überlisten des Fingerabdruckscanners des Apple iPhone 5s im Herbst 2013. Trotz technischer Weiterentwicklung verfehlen die Sensoren das Werbeversprechen der sicheren Freigabe.
Die Fingerabdruck-Technologie versprach lange Zeit, das Passwort- und PIN-gestützte Authentifizieren auf sichere Weise abzulösen. Es klingt im ersten Moment logisch: Jeder Mensch hat einen einzigartigen Fingerabdruck. Etwas so einmaliges kann man nicht übernehmen wie ein ausgespähtes Passwort. Trotzdem gelang es Ben Schlabs, Mitarbeiter des deutschen Unternehmens SRLabs, den Sensor des Smartphones auf dieselbe Weise zu täuschen wie der Chaos Computer Club (CCC) im September 2013 das iPhone 5s: mit einer Attrappe des eigenen Fingerabdrucks aus Holzleim. Dabei fiel dem Experten auf, dass Samsung es potenziellen Dieben noch leichter macht als die Konkurrenz: Das iPhone verlangt nach dem fünften misslungenen Versuch eine PIN und lässt nichts anderes mehr zu, das Samsung-Gerät hingegen lässt faktisch unendlich viele Versuche zu.
Das Problem bei der Verwendung von Fingerabdrücken als Sicherheitsfreigabe ist selbstverständlich, dass der Abdruck überall in der Umgebung des Anwenders zu finden ist – besonders deutlich auf der glatten Oberfläche eines Touchscreens. Mit einfach erhältlichen Mitteln kann man diesen Abdruck sichtbar machen, fotografieren und daraus ein Modell aus Holzleim anfertigen. Ist der Abdruck einmal gestohlen, kann dieser im Gegensatz zu einer PIN oder einem Password nicht neu konfiguriert werden. Da immer mehr Funktionen mit dem Fingerabdruck gesichert sind, wird Dieben und Kriminellen möglicherweise Tür und Tor geöffnet. Ohne Probleme könnten mit dem falschen Fingerabdruck zum Beispiel Überweisungen über die App von PayPal getätigt werden.
Noch viel Entwicklung nötig, um Scanner fälschungssicher zu machen
Jedes dazukommende Identifizierungsmerkmal eines Fingerabdrucks erhöht die Abwehr gegen einen möglichen Eindringling. Hier zeigte das iPhone 5s mit einer höheren Auflösung als vorangegangene Sensoren und genaueren Vergleichen der feinen Details des Abdrucks einen guten Ansatz, doch auch der feinere Sensor konnte bewiesenermaßen überlistet werden. SRLabs empfiehlt, sich auf die Fehler im gefälschten Abdruck zu konzentrieren, die bei der Herstellung entstehen. Der Sensor sollte lernen, welche Anzeichen auf eine Fälschung hindeuten, anstatt nur die Gemeinsamkeiten zu interpretieren. Fälschungen weisen oft kleine Luftbläschen auf, die als weiße Punkte sichtbar sind, oder es fehlen winzige Details, die der Sensor eigentlich erkennt. Möglicherweise würde schon ein Dichtevergleich der hellen und dunklen Punkte in einem bestimmten Areal Hacker deutlich mehr abverlangen. Bisher haben die Hersteller den Fälschungstechniken nicht genügend Beachtung geschenkt. Als das iPhone 5s als erstes Smartphone mit Fingerabdrucksensor auf den Markt kam, war bereits seit Jahren die Methode bekannt, mit der Abdrücke gefälscht werden können.
Quelle: Gulli
