Per Fingerabdruck zum sicheren Smartphone? Der Fingerabdrucksensor im neuen Apple iPhone 5s Touch ID wurde von CCC Mitglied starbug „gehackt“. Dabei wurde ein Fingerabdruck abfotografiert und mit einem Laserdrucker ausgedruckt. Der iPhone 5s Touch ID Scanner hat diesen Fake-Fingerabdruck anerkannt und das Telefon entsperrt. Die Diskussion über die Sicherheit von Touch ID und Fingerabdrücken im Allgemeinen ist also wieder eröffnet.
Der CCC Hacker starbug warnt vor der Verwendung von Fingerabdrücken zur Zugriffssicherung.
Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen
Und auch Chaos Computer Club Sprecher Frank Rieger sieht biometrische Daten und Biometrie im Allgemeinen eher als Überwachungsinstrument denn als Sicherheitsfeature:
Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden. Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.
Dazu veröffentlicht starbugs den Touch ID Hack auch in einem Video. Wie erwähnt genügt es, einen Fingerabdruck mit 2400 Pixel pro Zoll zu fotografieren um ein entsprechendes Duplikat zu erstellen, das von Touch ID als legitimer Abdruck erkannt wird.
Wie ist dieser Touch ID Hack einzuschätzen? Einerseits müssen wir den Kollegen vom CCC natürlich Recht geben – Biometrie ist nicht das Allheilmittel für mehr Sicherheit. Ein Fingerabdruck KANN erzwungen werden – die Herausgabe eines lediglich im Gedächtnis gespeicherten Passwortes ist hier deutlich sicherer. Soll heißen: ohne ein ausreichend langes und kryptisches Passwort sind Daten, die lediglich hinter einer biometrischer Zugangskontrolle liegen, unsicher.
Im Alltag jedoch stehen wir hier jedoch vor einer komplett anderen Ausgangslage. Viele Smartphone Nutzer verzichten aus Komfort-Gründen komplett auf ein Passwort oder nutzen z.B. die vierstellige Pin. Letztere kann problemlos abgeschaut werden. Das Anfertigen eines entsprechenden Fingerabdruckes stellt derweil für den „Otto-Normal“ eine deutlich höhere Hürde da als das Abschauen der Zahlenkombination.
Brisante, geheime und sensible Daten sollten jedoch zusätzlich auf eine andere Art und Weise verschlüsselt und gesichert werden. Eine biometrische Zugangssicherung reicht in einem solchen Fall nicht aus.
- CCC hackt Touch ID
- heise Meldung zum CCC Hack
Was Denkst Du?