Skip to content

Der Chaos Computer Club überlistet den Iris-Scanner des Samsung Galaxy S8

Geschrieben von Florian Schimanke am

Eines direkt vorab. Ich bin kein großer Freund davon, das Austricksen biometrischer Sensoren mit verhältnismäßig großem Aufwand als "Hack" zu bezeichnen, auch wenn die folgende Story aktuell unter dieser Überschrift die Runde macht. So haben es Mitglieder des deutschen Chaos Computer Clubs geschafft, den Iris-Scanner des aktuellen Samsung Galaxy S8 auszutricksen, indem sie eine Kontaktlinse so manipuliert haben, dass der Sensor auf sie hereingefallen ist (via ArsTechnica). Hierzu wurde das Gesicht des Telefon-Besitzers fotografiert und eine Kontaklinse anschließend so über dem Auge auf dem ausgedruckten Gesicht platziert, dass der Iris-Scanner dies akzeptiert und das Smartphone entsperrt hat. Das nachfolgende Video zeigt den Vorgang in bewegten Bildern.



YouTube Direktlink

Mich erinnert der Vorgang ein wenig an den seinerzeit ebenfalls vom CCC lancierten "Hack" des Touch ID Sensors am iPhone mithilfe eines auf Silikonbasis nachgebauten Fingers. Selbstverständlich ist es mit einem gewissen Aufwand immer möglich, solche Sensoren auszutricksen. Allerdings stellt sich im Alltag natürlich die Frage, ob dies auch tatsächlich ein Szenario sein könnte. Sensoren wie Touch ID oder auch der Iris-Scanner von Samsung dienen in erster Linie einer rudimentären Sicherheit der Geräte. Vor Touch ID hatten nur die wenigsten Nutzer überhaupt eine Codesperre eingerichtet und wenn, dann konnte man sich die Kombination in der Regel relativ leicht merken, wenn man einmal jemandem bei der Eingabe über die Schulter geschaut hat. Touch ID und Co. haben dieses Manko deutlich gelindert. Ich würde den "Hack" der Kollegen vom CCC daher auch eher als Machbarkeitsstudie und weniger als Sicherheitsrisiko einstufen.

Problematisch ist vor diesem Hintergrund allerdings das Marketing von Samsung, welches mit Begriffen wie "airtight security" hantiert und prahlt, Nutzer könnten endlich darauf vertrauen, dass ihr Smartphone geschützt ist. ("finally trust that their phones are protected"). Auch Apple soll angeblich für das iPhone 8 mit einem Iris-Scanner oder einer Gesichtserkennung experimentieren und man darf gespannt sein, wie die Umsetzung und das Marketing dort ausfallen werden.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Jimbo am :

Wobei es da noch einfacher aussieht, das zu umgehen. Foto, Laserdrucker, Einwegkontaktlinse, fertig.

Beim TouchID braucht man den Fingerabdruck, (Superkleber, Scanner), Bildbearbeitungssoftware zum Nachzeichnen des Fingerabdrucks, Elektroplatine f\374rs Negativ, Platine muss ge\344tzt werden, Silikon etc.
Der Zeitliche Aufwand f\374r TouchID ist da sehr viel gr\366sser....

Julius am :

Sehe ich auch so, nen Drucker und ne Kamera hat eigentlich jeder heutzutage und auch an eine Kontaktlinse ist nicht schwer zu kommen ( wenn man nicht eh schon welche zuhause hat). Da ist der Aufwand deutlich geringer als bei Touch ID.

SOE am :

Sehe ich genau so.
Der TouchID ist die sicherste Alternative gegenüber der PIN. Und wenn man bedenkt, dass die britische Polizei Verdächtigen das iPhone im Telefonat entreisst, kann die hypothetische Kopie des Abdrucks vom Gerät nicht so praktikabel sein wie befürchtet.

https://www.heise.de/mac-and-i/meldung/Verschluesselung-Scotland-Yard-entreisst-Verdaechtigem-iPhone-3557458.html

Und so lange ein marketingtechnischer Iris-Scanner quasi nur ein "Foto" vom Auge vergleicht, kann man dieses im Alltag unpraktikable System echt vergessen.

Hauke Haien am :

und, ich ben\366tige immer das Original. Fingerabdruck kann ich mir ja nicht einfach ausdenken! Und Iris kann ich auch nicht jede X-beliebige nehmen. Im Endeffekt ist es ein Telefon und man sollte sich halt als Nutzer \374berlegen, welche Daten man da dr\374ber laufen l\344sst!

iMerkopf am :

Es geht allerdings nicht nur um die lokal gelagerten Daten. Touch ID und vermutlich auch die Iris-Scanner des Galaxys k\366nnen mit dutzenden 3rd-Party-Apps verkn\374pft werden: Mail-Apps, Banking-Apps, soziale Netzwerke... Die ganzen digitalen Plattformen und Clouds haben dazu gef\374hrt, dass ein Hacker nur ein Ger\344t erbeuteten und knacken muss, um an ein F\374llhorn an Daten zu kommen.

GREYAchilles am :

H\366rt sich alles ein bisschen nach James Bond an. Auch das mit den Fingerabdr\374cken damals!

Bernd am :

Die M\366glichkeit aufzuzeigen ist trotzdem sinnvoll.

WGS am :

Was ich nicht so ganz hier verstanden habe: es wurde eine Kontaktlinse genommen? Ein Iris-Scanner funktioniert meines Wissens in der Weise, dass die Iris des Besitzers gescannt wird. Sie ist wie der Fingerabdruck einmalig. Es reicht da nicht aus, nur eine Kontaktlinse zu nehmen und \374ber ein gedrucktes Auge zu legen - wenn doch, dann ist das kein Iris-Scanner.

Fitch am :

Hast du bestimmt \374berlesen: es wurde das Gesicht des Telefonbesitzers fotografiert, nicht irgendein beliebiges.

Wulf am :

Es muss nat\374rlich das Foto von der Iris des Besitzers sein.

Aber wieso wird da beim Scann nicht einfach das blinzeln des Auges mit abgefragt. Machen andere Handys auch. Damit w\374rde es schon wieder deutlich schwerer.
Oh Mann...

Alex am :

Die Kontaktlinse wird benötigt, um ein echtes Auge vorzugaukeln. Die Kamera sieht hier nämlich Spiegelungen an der gekrümmten Fläche, wie bei einem echten Auge, wenn die Kamera leicht bewegt wird. Ein reines Foto würde nicht funktionieren, wegen der fehlenden Spiegelung.

Blinzeln würde vermutlich nicht gut funktionieren, weil die Erkennung dann ggfs. mehrere Blinzeler abwarten müsste, was zu lange dauert. Und faken kann man das sicherlich auch.

Hans am :

Im Alltag sehe ich nur einen Fall, in dem der Fingerabdruck dem PIN sicherheitstechnisch unterlegen ist:
Wenn ich KO geschlagen werde muss der R\344uber nurnoch dran denken, vor der Flucht, kurz meinen Finger auf das erbeutete Smartphone zu legen.

Fitch am :

... oder nachts einfach mal eben am Bett vorbeilaufen und den Finger draufhalten. Muss kein Einbrecher sein. Neugierige Freunde/Bekannte reichen aus \ud83d\ude44

Wulf am :

Ihr sollt euch ja nicht so bewusstlos saufen dass ihr gar nichts mehr mitbekommt.

Und die PIN kann man auch nicht aussp\344hen, oder...wenn ich sehe wie sorglos an \366ffentlichen Pl\344tzen die PIN oder Geste auf dem Handy eingegeben wird, dann finde ich das schon deutlich sorgloser. Denn PIN Aussp\344hen kann jeder Technik Depp, der weder Digitalkamera hat um ein Foto von fremden Iris'en zu machen noch Silikon hat um fremde Fingerabdr\374cke zu generieren.

Fitch am :

Gab es nicht mal (zumindest kurzzeitig) die Funktion, dass nach einer bestimmten Zeit, in der das iPhone nicht entsperrt wurde, zus\344tzlich zum Fingerabdruck noch die PIN ben\366tigt wurde? Ich meine mich da an eine Diskussion zu erinnern...

Wulf am :

- Nach 5 erfolglosen Versuchen
- Nach 48 ohne Anmeldung
- Nach Neustart
- Aufruf Funktion TouchID

Anonym am :

Ich verstehe nicht das Flo kein Freund davon ist? das zeigt doch auf das es nicht sicher ist und auch f\374r meine Verh\344ltnisse leicht zu \374berwinden.

Cruunnerr am :

\ud83d\ude02 da is was dran

Jotter am :

Ist heute Knatter Tag?\ud83e\udd20\ud83d\ude44\ud83d\udc40\ud83d\ude33\ud83d\ude02\ud83e\udd20

Eric am :

Das Problem allgemein ist nicht das viele Methoden "unsicher" sind, sondern vielmehr dass den Endkunden immer mehr das Gef\374hl vermittelt wird das eben solche Methoden sicher sind.
Aber welcher Hersteller will schon eine Marketingkampagne bezahlen welche erkl\344rt wie man mit sensiblen Daten umgehen sollte und wo man diese lagert ;)
Da verkauft es sich besser einfach besser eine neue Sicherheitstechnik einzuf\374hren. Ohne solche Dinge w\344re die Liste an neuen Features bei neuen Smartphones langsam klein.
Hier liegt das Problem nat\374rlich bei den Smartphone Herstellern, aber auch bei den K\344ufern welche bei jedem neuen Modell um Features geifern und nahezu ein Shitstorm los bricht wenn dies nicht der Fall ist. Teufelskreislauf.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen