Hackern des Biometrieteams des Chaos Computer Clubs (CCC) ist es nach eigenen Angaben zwar gelungen, die biometrischen Sicherheitsfunktionen („TouchID“) des im neuen iPhone 5s verwendeten Fingerabdrucksensors mit „einfachsten“ Mitteln zu umgehen – der Nachfrage nach dem Gerät tun die Befürchtungen rund um den Datenschutz aber keinen Abbruch. In einem am Samstag veröffentlichten Video zeigen sie, wie der Fingerabdruckscanner mit handelsüblichen Materialien überlistet werden kann. Die Initiatoren des Hackerwettbewerbs „Is Touch ID hacked yet“ prüfen nach eigenen Angaben derzeit noch, ob das vom CCC gezeigte Verfahren den Teilnahmebedingungen entspricht.
Von Apple war dazu zunächst keine Stellungnahme zu erhalten; von der deutschen Pressestelle hieß es, man wisse auch nicht, ob sich daran im Lauf des Tages noch etwas ändern werde. Gemeldet wurde aber etwas anderes: In den ersten drei Tagen nach der Produktvorstellung sind die neuen iPhone-Modelle schon mehr als 9 Millionen Mal verkauft worden. Zum Vergleich: Das Vorgängermodell ging im vergangenen Jahr in derselben Zeitspanne „nur“ 5 Millionen Mal über den Ladentisch. Entsprechend wurde nun auch die Prognose für das laufende Geschäftsquartal angehoben. Erwartet wird jetzt ein Umsatz am oberen Ende der bisher vorhergesagten Spanne von 34 bis 37 Milliarden Dollar. Der Aktienkurs reagierte positiv.
Ausverkauft
Während das iPhone 5s also überall ausverkauft ist, beschreibt der CCC in einer Pressemitteilung ausführlich, wie der gefälschte Abdruck hergestellt wurde. Zuerst wurde der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi (Dots per inch) fotografiert. Das Foto wurde dann am Computer bereinigt, invertiert und mit der Hilfe eines Laserdruckers auf eine Transparenzfolie gedruckt. „Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden“, heißt es vom CCC. Auf das Druckbild wurde dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entstehe ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen könne der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an: „Dann kann man das iPhone damit entsperren.“ Hinter der Aktion steckt nach den Angaben des CCC ein Biometriespezialist mit dem Pseudonym „Starbug“, der seit Jahren verschiedene Fingerabdruck-Scanner austrickst. „Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren.“ Aber: „Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen.“
Apple betonte bisher, das iPhone 5s erfasse für die „Touch ID“-Funktion in hoher Auflösung Teile des Fingerabdruckmusters in tieferen Hautschichten. Es ist ein kapazitiver Sensor – das heißt, er reagiert auf das elektrische Feld des Fingers. Der Konzern selbst verglich die Sicherheit der Lösung mit der eines fünfstelligen Zahlen-Codes. Das iPhone verlässt sich zudem nicht nur auf den Fingerabdruck, sondern lässt den Benutzer auch regelmäßig seinen Sicherheits-Code eintippen. Doch den CCC überzeugt das nicht: „Wir hoffen, dass dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt“, lässt sich Frank Rieger, der Sprecher des CCC, in der Mitteilung zitieren: „Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.“
Auch Fingerabdrücke in Ausweisdokumenten seien in vielen Ländern seit einigen Jahren eingeführt worden, obwohl von diesen kein Sicherheitsgewinn ausgehe. Gegen die biometrischen Sicherheitsmerkmale des neuen elektronischen Personalausweises wettert der CCC schon lange. Laut Bundesinnenministerium gibt es seit der Einführung des Dokuments zwar „keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen“. Dass bisher keine Fälle bekanntgeworden sind, ist nach Ansicht des CCC im Umkehrschluss aber kein Beweis dafür, dass der im Ausweis verwendete Chip nicht schon geöffnet und geklont worden wäre.
Sensible Daten nicht mit Fingerabdruck sichern
Benutzer des neuen iPhone 5s sollten nach dem Rat des CCC vermeiden, sensible Daten mit ihrem Fingerabdruck zu sichern. Dabei gehe es nicht nur darum, dass der Fingerabdruck gefälscht werden könne. Auch könne man dazu gezwungen werden, sein Telefon zu entsperren, wenn man festgenommen werde. Einen Menschen dazu zu zwingen, ein sicheres Passwort preiszugeben, sei dagegen um einiges schwieriger als das Telefon vor seine Hände in Handschellen zu halten.
Unabhängig vom Erfolg des CCC wurden inzwischen Tricks veröffentlicht, mit denen sich die neue Zahlencodesperre des Betriebssystems „iOS 7“ umgehen lässt; nachvollziehen lassen sich diese allerdings nicht immer. So soll es angeblich funktionieren, Anrufe von einem gesperrten Telefon abzusetzen, wenn man auf der Notruf-Seite eine Nummer eingibt und so lange schnell auf den Anrufen-Button drückt, bis eine Verbindung steht. Zudem kann man über das „Kontrollzentrum“ Zugriff auf Fotos auf einem gesperrten iPhone erlangen.
Der Autor auf Twitter: www.twitter.com/carstenknop
Vom selben Autor: “Amazon kennt dich schon” https://www.fazbuch.de
Komische Welt,
es gelingt eingen Industriellen den Massen der Leute weltweit eine Waffe in die Hand zu drücken, mit der sie sich Tag und Nacht selbst bedrohen, gar verletzen … und jeden Schritt noch teuer bezahlen. Komische, gefährliche Welt ! Nebenbei: Die Taliban werden wohl siegen. Während wir mit allen Mitteln daddeln, simsen und bloggen, ziehen sie uns, in Schuhen ohne Strümpfe, das Fell ohne unsere besondere Gegenwehr stückweis ab. Die,
die als Soldaten gegen die Untergang der europ. Kultur kämpfen, gelten als Kriegstreiber.
Wahnsinn !
Gib mir DEINE Fingerprints, ich besorge die Papillar-Folie und Überweise DEIN Geld. Na prima!
[…] FAZ zeigt die ersten Probleme mit dem Fingerabdrucksensor auf. Dem CCC Hamburg geolang es bereits die ersten Geräte zu hacken. Weitere Sicherheitslücken […]
iPhones sind für eine gewisse Klientele religiöse Kultobjekte...
und diese Gläubigen interessiert es überhaupt nicht, ob ein Fingerabdruck Sensor vielleicht überlistet werden kann!
“Sensible Daten nicht mit Fingerabdruck sichern”
ist ein lächerlicher Blickfang, weil man solche überhaupt nicht auf dem Handy haben sollte. Schliesslich liest Big Brother alles mit, unabhängig von der Zuverlässigkeit eines Sensors…