Skip to content

Komplett Banane: Touch ID angeblich "gehackt"

Geschrieben von Florian Schimanke am

Es war nur eine Frage der Zeit, bis die "Skandal-Meldung" über das Internet hereinbrechen würde, dass irgendjemand Apples neuen Touch ID Sensor gehackt habe. Dies ist nun gestern Abend geschehen und lässt mich schon wieder Gefrierbrand kriegen. Kurz zu der Methode, mit der der deutsche Chaos Computer Club den Sensor "gehackt" haben möchte. Man nehme einen Fingerabdruck von einem Wasserglas, fotografiere diesen mit 2.400 dpi, drucke ihn anschließend mit einem Laser in 1.200 dpi auf einen Latexfilm und verwende diesen als künstlichen Fingerabdruck. Was sich anhört wie aus einem James Bond Film, wurde zum Beweis auf einem Video festgehalten, dessen Veröffentlichung ich mir an dieser Stelle spare. Und zu allem Übel setzt der Sprecher des CCC dem ganzen auch noch die Krone auf mit den Worten: "Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt.“

Zur Klarstellung. Ja, der Touch ID Sensor kann auf diese Weise definitiv ausgetrickst werden. Ich spare mir hier mal bewusst das Wort "gehackt". Nein, Apple hat nie behauptet, dass dies nicht mit einer solchen Methode möglich wäre. Legen wir aber mal den Schalter um und wechseln wieder in die Realität. Da kommt also jemand daher, klaut mir mein iPhone und sucht sich dann auch noch meinen passenden Fingerabdruck. Ist klar. Selbst wenn er dazu in der Lage wäre, ihn von der Rückseite meines Geräts abzufotografieren, müsste er dann immer noch den künstlichen Fingerabdruck erzeugen. Und hey, wenn er das schafft, dann hat er es auch verdient.

Aus meiner Sicht geht es hier (mal wieder) nur darum, auf Kosten Apples Publicity zu erlangen. Ohne dem CCC zu nahe treten zu wollen, aber das haben die Jungs eigentlich nicht nötig. Ja, mir wird sicherlich wieder vorgworfen werden, dass ich das Thema zu positiv für Apple oder zu wenig kritisch oder was auch immer sehe. Jeder der das so sieht, kann ja auch weiterhin auf den 4-stelligen PIN zum Schutz des iPhone setzen. Das ist BESTIMMT deutlich sicherer als der Fingerabdruck. Apple ging es bei der Einführung von Touch ID darum, bei maximaler Benutzerfreundlichkeit ein gewisses Maß an Sicherheit zu schaffen, welches man mit alltäglichen Mitteln nicht aushebeln kann. Künstliche Fingerabdrücke... Der nächste behauptet vermutlich, Touch ID sei unsicher, weil man dem Besitzer ja auch den Finger abhacken könne. Aus meiner Sicht total Banane.

Trackbacks

www.apfellike.com am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Flo's Weblog | Apple News and more... am : Jahresrückblick 2013: Juli - September

Vorschau anzeigen
Wie aus dem letzten Jahr gewohnt, gibt es auch in 2013 wieder einen kleinen Rückblick auf die hinter uns liegenden 12 Apple-Monate zwischen den Feiertagen. Somit verbleibt die Zeit auch ohne spannende Meldungen nicht ganz Apple-frei. Auch das Jahr 2013 hi

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Hannes am :

Sehe ich ganz genauso wie du Flo. Mit entsprechender Kriminalität kann ich fast alles knacken. Total realitätsfremdes Geschreibe. Wir leben nicht alle im James Bond- Film ;)

Tobias am :

Habt ihr sie noch alle incl Flo und schaut ihr euch als auch mal die Webseiten von Apple an zb "Dein Finger das perfekte Kennwort" oder "Kapazitiver Berührungssensor" Aha Als was auch immer ein kapazitiver Sensor sein soll er kann wohl solche einfache Tricks nicht Erkennen lächerlich was Apple da schreibt und wie die Realität aussieht ;) Als nix mit perfektem Finger alsKennwort wie es Apple formuliert !!!! Und dann noch dieses grauenhafte iOS und die neue Feuerwehr App von Flo ;-)) Sorry

Christian am :

Schaffe du es erstmal, eine so geile App zu programmieren

FloJobs am :

Auch wenn Du oftmals viel zu unkritisch bist, hast Du diesmal Recht!

FloJobs am :

Auch wenn Du oftmals viel zu unkritisch bist, hast Du dieses Mal ausnahmsweise Recht!

dave am :

Vielleicht sollten Sie mal die "Länge Ihrer Koteletten" überdenken. Oder die rosa Brille ablegen. Diser Sensor ist unnötig aaaaaaaltmodisch.

Max am :

hmmm, das iphone 6 kommt doch eh mit Iris-Scan, von daher ????

Techl am :

Und dann klauen sie Dir Dein Auge OHNE die Iris zu demolieren!
Vorsicht... ????

Jens am :

Danke Flo. Hätte es nicht besser beschreiben können.

Mike Noack am :

Dito. Danke Flo :-)

Gernot am :

Ebenfalls dito Flo! Das ganze Geschisse geht mir so dermaßen auf den Keks, das glaubst Du gar nicht! Wer treibt denn so einen Aufwand, um mein beschissenes Iphone zu knacken???

Alex am :

Hab es gestern Abend schon gesehen ... Mehr als lächerlich ... Jeder Fingerabdrucksensor lässt sich so umgehen ... Bei Apple ist es wieder 10000x schlimmer. Dein letzter Satz ist Messe Flo :)

Benny am :

Dem CCC geht es weniger um Apple, sondern Aufklärung darüber zu geben, dass biometrische Merkmale keine sichere Alternative für sichere Passwörter sein dürfen. Und da ist nun mal der Touch-ID-Sensor gefundenes Fressen. Vor allem ist dies auch ein alter Hut. Aufregung hin oder her. Interessant wird es meines Erachtens erst, sollte der Touch-ID-Bereich ausgelesen werden. Dann hat Apple ein richtiges Problem

Techl am :

Das stimmt - und DAS dürfte dann 'gehackt' heißen!
Umgehen sollte nicht so heißen...

KreWo am :

Wenn dem so wäre, hätten sie das schon vor Jahren Publicity-wirksam gemacht, als diese Scanner in den Notebooks auftauchten...

Sven am :

Der ccc muss einfach mal wieder Publicity auf andererleuts kosten machen. Nix neues. Leider armselig. Aber lässt den Nerds ihren Spaß.
Nun, dass man den Sensor so umgehen kann, kann sich doch jeder im Kopf überlegen. Geschieht in jedem Agenten Film und funktioniert auch genau so bei jedem anderen finerabdrucksensor. Warum also nicht auch hier. Wie flo schon sagte. Wenn sich jemand so viel Mühe gibt mein iPhone auf zu bekommen, bitte. Soll er meine SMS lesen.
Alternativ klappt es bestimmt auch, das iPhone auf zu machen und den Sensor kurz zu schließen. @ccc-Jungs, schon probiert?;)

Tom am :

@dave
wie bist du denn drauf ?
Der Sensor ist genial, allein aus dem Grund, daß ich nicht immer meine Passwörter eintimmen muß und das was Flo schreibt ist absolut richtig zumal noch hinzukommt das mein Handy zusätzlich noch ohne mein ITunes Passwort nicht von anderen mehr aktiviert werden kann dank IOS7.

Benny am :

Als Entwickler habe ich selbst daran gedacht, wie toll der Sensor sein könnte um dem User eine komfortable Möglichkeit zu bieten, sich einzuloggen. Aber schnell verworfen, da es einfach nicht sicher genug ist.
Man muss abwägen zwischen Usability und Security. Und Sicherheit sollte an erster Stelle stehen. Das sollte man auch als User bedenken!

KreWo am :

...aber ein vierstelliger Zahlencode ist sicherer... alles klar.
Und so jemand nennt sich Programmierer...

Rudi am :

Nur soviel Sicherheit wie nötig und nicht wie möglich. Ist wie auf dem Bau. 10 Sicherheitsleute schauen zu wie einer arbeitet.

Alex am :

Wie Flo schon schreibt ist der Gedanke von Apple das jeder es einfach nutzen kann. Natürlich ist so ein Sensor altbacken. dazu aber komfortabel und in keinem anderen Smartphones zu finden :)

stefan am :

Es gibt nirgends eine 100% Sicherheit! Da die Idee und die Herstellung vom Menschen kommt. Es wird immer eine Möglichkeit geben, in jedem System eine Sicherheitslücke zu finden, die Frage ist nur ob es Sinn macht danach zu suchen... ;-)

PS.: Da ich beide iPhone 5C und 5S schon in den Händen halten konnte, Sie sind beide einfach nur Apple und nicht Banane!

Rob am :

???? ich sag immer wenn einer wirklich in dein System eindringen will, dann kann und wird er es auch. Den Nutzen den man daraus zieht steht auf nem anderen Blatt

Tobias am :

schaut ihr euch als auch mal die Webseiten von Apple an ? zb "Dein Finger das perfekte Kennwort" oder "Kapazitiver Berührungssensor" Aha Als was auch immer ein kapazitiver Sensor sein soll er kann wohl solche einfache Tricks nicht erkennen lächerlich was Apple da schreibt und wie die Realität aussieht ;) Als nix mit perfektem Finger alsKennwort wie es Apple formuliert !!!! Und dann noch dieses grauenhafte iOS und die neue Feuerwehr App von Flo ;-)) Sorry

Bayz am :

Deine lachhaften Kommentare werden nicht besser, egal wie oft du sie hier zum Besten gibst!
Wiese treibst du dich hier rum wenn iOS und der Blog so schlecht sind? Die Meinung ist dein gutes Recht, aber hast du keine anderen Hobbies?

Thomas am :

Hast du den Artikel von Flo gelesen? Und auch verstanden?

cyas am :

Flo - um etwas Öffentlichkeitsarbeit zu leisten: es ist evtl sinnvoll noch anzumerken dass nach 48 Stunden nicht-valider Entsperrung per TouchID das Passwort definitiv verlangt wird. Das dämmt dann schonmal das Reproduzieren des Abdrucks ein. Man kann (also Apple) die zeit ja auch auf 24 Stunden runtersetzen

Matthias am :

Vielleicht hilft das ja den Kritikern:
Alle Finger abhacken und in einem Passwortgeschützten Safe aufbewahren. Dann nur rausholen um das iPhone zu entsperren.
Mal im Ernst jetzt:
Ich unterstütze Flos Meinung!!!
Trotzdem eine Frage an Flo dazu. Ich habe in dejnem Bericht über TouchID gelesen, das der Scanner auf das Unterhautgewebe geht. Wie passt das denn dazu?!? Das kann ich doch so schlecht kopieren, oder war die Info falsch?

Flo am :

Mir ist dazu aktuell nichts bekannt. Aber das Gerücht habe ich heute schon öfter gelesen. Ich mache mich da mal schlau...

Daniel am :

Und ich kriege Gefrierbrand bei Deinem Artikel! Es ist einfach unredlich, mit dem Hinweis auf "Publicity" die Wichtigkeit einer Information herunterzuspielen. Mit diesem Argument kann man nämlich heutzutage jede Veröffentlichung angreifen. Aber genau dafür ist der CCC nämlich da: sicherheitsrelevante Informationen zu veröffentlichen!
Was man mit diesen Informationen dann anstellt, ist die nächste Frage, und hier greife ich jetzt Deine Aussage an: der Blick eines Beobachters von hinten über meine Schulter in der S-Bahn genügt, um meinen Sicherheitscode auszuspähen.
Ich fasse zusammen: danke CCC, daß Du uns die Information gegeben hast, denn genau erst jetzt (!) können wir uns eine Meinung drüber bilden, welchen Sicherheitsmechanismus wir besser verwenden sollten!

Techl am :

Ich verstehe Deinen Gedanken - aber die Headline vom CCC "ID Touch 'gehackt'" ist halt schon reißerisch - ID Touch umgangen ist korrekter, würde aber kaum jemand lesen...
Somit mag beiderseits Gefrierbrand möglich sein - ich denke Flo hat recht den "gehackt" Terminus zu monieren - Du hast recht, dass man sich bewusst sein muss, wie sicher PIN oder ID Touch ist...

KreWo am :

...Wo waren diese "Experten" als die ersten Fingerscanner in Notebooks auftauchten?
Ach ja, das war ja nicht so öffentlichkeitswirksam als wenn man gegen Apple hetzt...

Tobx2 am :

Nein, dazu gab es bereits vor > 3 Jahren ein AUSFUEHRLICHEN. Artikel in der Datenschleuder (CCC).
Fakt ist: Das Ding ist mit "Hausmitteln" knackbar und somit nicht per se sicher.
Ob das Apple-Fanboys gefällt oder nicht. ;)

Stefan am :

Aber achtung: es geht ja nicht nur darum, das iPhone zu entsperren sondern damit auch Käufe zu tätigen. Erstmal nur Apple Käufe wie z.B. ITunes aber später sicher auch alles andere wie z. b. Ebay oder finanzgeschäfte..

Fatih am :

Dass man nach 48h den Code eingeben muss wird nicht erwähnt. Apple hat das genau wegen solchen James-Bond-Methoden gemacht, damit den Hobby-Agenten die Zeit davon rennt.

Aber ich seh es schon kommen:

Kollegen/Bekannte: iPhone unsicher!

Ich: Alles halb so wild.

Kollegen bekannte: Jaja du und dein Apple, bloß nicht zugeben dass Apple Scheisse gebaut hat.

cyas am :

Seh ich genau so kommen :D

Rob am :

Wenn er sagt iPhone unsicher leg ihm die Funke hin und er soll es knacken oder was auch immer. Lass ihn mal machen bis er sagt: Ja ne is mir zu aufwändig... Blabla. Theoretisch ist Fort Knox auch zu knacken nur es ist halt Aufwand. Ich glaub kaum das Mutti Schmidt am Tag 5 iPhones mal eben nebenbei knackt. Klar kann man Touch ID knacken das Ding is auch nur Technik....

Gernot am :

Genau so wird es mir auch gehen! :-) Mal ehrlich, die tun alle so, als wenn es hier um Mord geht. Was hat jemand davon, wenn er mein Iphone knackt. Ich meine bei dem Aufwand? Soll ich Euch mal was sagen? Isch habe den Code schon bei meinem ersten Iphone Classik rausgenommen, weil mir das zu umständlich war. Bei meinem jetzigen 4S genauso und deshalb freue ich mich auf das 5S! Ohne Umstände Sicherheit! Ist das nichts! Außerdem läßt sich das Iphone aus der Ferne löschen. Noch was; ich hatte mal einen BMW 530. Für Extrakosten gabs zusätzlich zur Wegfahrsperre eine Alarmanlage für die absolute Sicherheit. Eines Morgens war mein Carport leer! Schade, da hat keiner drüber geschrieben! :-)

iKostas am :

@rob
Wenn der andere körperlich sehr kräftig ist braucht er nur dein Daumen am iPhone zu halten. Punkt

Werde zwar auch benutzen aber zu denken es sei absolut sicher nie im Leben.

Hannes am :

Sehe ich ganz genauso wie du Flo. Mit entsprechender Kriminalität kann ich fast alles knacken. Wir leben nicht alle im James Bond- Film ;)

dogfight76 am :

…darum !! Wie sicher ist wohl ein 4stelliger Zahlencode ??
Richtig sicher wird's ab 10 Stellen, mit Sonderzeichen, groß und klein- Schreibung und Zahlen

Daniel am :

Man kann das iPhone aber so einstellen das es sich nach 10 falschen Code eingaben löscht.

Joachim am :

Stimme die voll zu!

Sait am :

Super Beitrag.
Und genau wie du es auch gesagt hast.
Hey wer keiner "Touch id " Sicherheit traut braucht es nicht einzurichten.
Und im ernst 70% der Leute haben Schwierigkeiten eine Appleid anzulegen da sollen dir einen Fingerabdruck kopieren. ^_-

fred am :

also ich seh das nicht ganz so wie floh.... schon klar das keiner soetwas für meine daten am iphone macht, aber das wiederlegt ja doch klar die Aussage seitens Apple das der sensor auch unter der Haut scant. FAIL!!!

Bayz am :

Wo steht das denn und wie soll das funktionieren?

FloJobs am :

Scheiss Zensur hier! Aber gerne nochmal: Normalerweise bist Du zu unkritisch, aber in diesem Fall hast Du Recht!

Hitokkohitori am :

Die Einwände des CCC sind berechtigt. Nicht unbedingt für den "Normaluser", für Journalisten und ähnliche ist es allerdings problematisch, weil nur ein Fingerabdruck in den ersten 48h reicht um "unbürokratisch" ans Gerät zu kommen. Ist natürlich auch "Aluhut" aber leider nicht unrealistisch. Dem Alltagsbenutzer kannst egal sein.

marzimonster am :

Privatsphäre und Sicherheit sind heute doch keine Argumente mehr.
Innovation und einfache Bedienung passend zum Lifestyle sind Kriterien die zählen.
Immer nach dem Moto 'Ich habe nichts zu verbergen'.
Der CCC hatte seinen Spaß aber wirklich interessieren tut das keinen.

Veeman am :

Dann sollten Leute eben Ihre Füsse und Brustnippel nehmen - an die kommt man nicht so leicht ran. Klappt ja auch laut mehreren Videos und Artikeln - nur umständlich beim entspeeren eben ;:)

Dion am :

Ja ein künstlichen Fingerabdruck kann man doch für alle Fingerabdrucksensoren verwenden, oder ist das was neues?

Akimo am :

also wieder die nächste sau durchs dorf getrieben. einfach die person festhalten, dazu zwingen den finger aufs telefon zu legen evtl mit gewalt u man spart sich den schmarrn. es geht doch darum im täglichen leben einen zugriff von leuten um einen herum auf private daten zu blocken u da ist der sensor genial.

StanMarsh am :

Wieso regen sich die Apple Jünger so auf? Wenn ich mich richtig erinnere hat Apple behauptet, dass dieses Verfahren eben nicht gehen sollte. Irgendwas mit lebendig und subkutan. Also ist das Wort Hack erlaubt.

Max am :

Flo hat recht, Sensor genial.

Die Leute vom CCC sind eh nur 100% Freaks, die nichts anderes zu tun haben...

Norman am :

Ich bin Flo's Meinung. Das Video beweist gar nichts! Da wurden keine anderen Finger als der gescannte genommen. Keine andere Person entsperrte mit dieser Folie das iPhone. Und wenn der Sensor nun einfach durch die Folie gescannt hat? Denen vom CCC fehlt wohl etwas Aufmerksamkeit. Touch ID ist ein Komfort-Feature, nicht mehr und nicht weniger wurde behauptet. Achso: Man kann es bei Nichtbedarf auch ausstellen.

Toni am :

Also genau das gleiche habe ich mir gestern Abend gedacht. Überhaupt, wenn ich bedenke wie viele eingegebene PINs ich mittlerweile auf Konzerten oder anderen Veranstaltungen gesehen habe. Handy schön hoch halten, PIN eingeben und Foto machen. Wesentlich einfacher als innerhalb des Konzertes meine Bierflasche zu klauen oder einen "sauberen" Scan von meinem Handy zu machen... Was den Einkauf bei iTunes angeht, so speichert das Handy meinen Fingerabdruck nur lokal (zumindest bis jetzt). Was durch das Sperren und Zurücksetzen des Handys kein Problem mehr darstellen sollte. Wer nach einem Diebstahl 2 Wochen wartet, ist irgendwie selbst Schuld... ich lasse ja auch Kreditkarten und Co bei Diebstahl sperren.

Firehorse am :

Super Punkt das mit den Veranstaltungen. Genau so ist es!

Ulli am :

absolut zutreffend! Und deshalb ist der Touch ID bei einem Smartphone m.E. die sicherere Variante. 100 % Sicherheit beim Smartphone gibt es ohnehin nicht. Aber wenn bessere=leichtere Bedienbarkeit mit höherer Sicherheit einhergeht, was will ich mehr?! Danke an Apple!

DerKleine am :

Alles was gut ist und womit einer Geld verdient wird schlecht geredet. Ich hätte mit der Touch- ID KEINE Probleme. Ich bin froh, das ich voll auf Apple mit allen Geräten umgestiegen bin. War vorher Dozent auch für alles um Windows und muss heute sagen, nichts hat bisher alles so sehr perfekt funktioniert, wie die Produkte von Apple. Ich habe seitdem mehr Zeit und auch riesengroßen einen Mehrwert. Ich schule seitdem die Produkte nicht mehr, hat seinen Grund :-)
Also Apple, bleibe weiter innovativ.
Ich freue mich schon auf mein 5 s!!!!!!!

Gernot am :

Ich habe an Microsoft einen Brief geschrieben und Ihnen mitgeteilt, daß sie mir ein Drittel meiner Lebenszeit geklaut haben, weil ich dann immer vor so einer komischen Eieruhr gesessen habe. Leider keine Antwort! :-) Seit einem Jahr nur noch Applerechner im Büro und zu Hause. Was soll ich sagen; "ich habe mehr Zeit!"

Mark am :

Flo, dein Beitrag hat den Stil eines unreflektierten Fanboys. Der CCC hat - aus meiner Sicht zurecht - darauf hingewiesen, dass es sich bei Touch ID nicht um "das perfekte Passwort" handelt. Mehr nicht.
Vielleicht solltest du manchmal noch eine Nacht schlafen, bevot du beissreflexartig solche Artikel veröffentlichst.

Katrin am :

Danke, Mark. Genau so!

Vermont am :

Da hat Mark recht.

Mapu am :

Es ging in dem Artikel hier mehr um die Wortwahl des "hackens".
Und das hat der CCC nicht getan. Wenn ich den Code von jemandem herausfinde und damit sein Handy entsperre, habe ich auch nicht sein Handy gehackt! Nichts anderes hat der CCC mit dem Fingerabdruck getan. Wenn der CCC es schafft die vom Sensor gespeicherten Daten auszulesen und damit später das Handy zu entsperren, wäre die Überschrift und die Nachricht an sich gerechtfertigt.

Der Hinweis, dass ein Fingerabdruck keine Sicherheit garantiert ist dennoch wichtig und auch richtig, darum geht es aber auch gar nicht.

Jo Mai am :

Die Beiträge und Einschätzungen von Flo möchte ich grundsätzlich nicht missen, aber als souveränen und differenzierten Fachbeitrag betrachte ich seine "Schreibe" nicht. Deshalb kann ich mit diesem Artikel gut leben, auch wenn er dieses Mal ganz besonders betriebsblind scheint. Wenn ich bei Oma bin, lese ich sogar manchmal die Regenbogenpresse!

Anonym am :

Es ist immer gut dass da jemand aufzeigt was möglich ist und wie es mit der Sicherheit aussieht, damit sich jeder selber ein Bild machen kann. Ich war auch davon ausgegangen, dass das heutzutage nicht mehr so einfach ist das zu umgehen. Allerdings für mich kein Grund zur Panik.

Florian am :

Dass, das alles Banane ist, liegt hier wohl auf der Hand. Vielmehr interessieren würde mich wie man das Handy öffnet bei Verlust des Fingers. Sicherlich keine alltägliche Situation, doch unwahrscheinlich nicht.

Flo am :

In diesem Fall kannst du immer noch die PIN verwenden.

Armin am :

Guter Artikel Flo bis auf den Vergleich mit J. Bond . CSI ist meiner Meinung nach treffender! Aber wer hat schon ein entsprechende Labor und Hardware Ausrüstung und damit die Voraussetzungen um einen solchen Hack auf die schnelle durchzuführen. Hmm ich führe diese Art von Utensilien nicht mit mir.

Andre am :

Ich glaube der 4 stellige Code war um einiges einfacher zu knacken.

Daniel am :

Eigentlich nicht weil sich das iPhone nach 10 falschen versuchen formatiert.

HarryXandeR am :

Was man auch ausschalten kann und einige auch machen...

Frank am :

Habe es heute morgen gelesen und dacht mir ebenso, dass man die Aktion wohl kaum "hacken" nennen kann.
Ich halte es so wie Flo: Sollte jemand das iPhone entwenden und tatsächlich in der Lage sein solch einen Aufwand erfolgreich zu betreiben hat er sich's auch verdient!

Für den alltäglichen Gebrauch ist das Ding sicher genug (für meine Bedürfnisse).

Pasfield am :

Die Sache wurde doch vom ccc nur für die neugierige Freundin/Frau veröffentlich.
So kann ein künstlicher Fingerabdruck des Partners erstellt werden u immer schön neugierig im iPhone nach Mails von anderen Frauen geschnüffelt werden.

Seroligo am :

Mich würde der "hack" mehr überzeugen, wenn nicht der gleiche echte Finger benutzt worden wäre. Also das Silikonteil auf einem fremden Finger verwendet worden wäre! Oder hab ich da was übersehen?

Boris am :

Ja hast du der Zeigefinger wurde von Touch id gescannt und die Kopie bzw. Die Folie war auf dem Mittelfinger

Christof am :

Und wer sagt, dass vorher nicht schon der Mittelfinger eingelesen wurde?

Yves am :

"Chaos Computer Club" ???? wäre mir direkt peinlich wenn ich jemand sagen müsste dass ich da arbeite. Hört sich an wie der Bösewicht von TKKG :D

Aber gut. Wie Flo schon sagt, das ist einfach ins lächerliche gezogen..

Dennis am :

Du hast recht Flo! Hab mir grade mal den Artikel auf der Seite von CCC durchgelesen. Da fallen einem die Eier aus der Hose! Die tun so als ob man auf seinem iPhone die Geheimnisse der area 51 versteckt xD

Mario am :

Wenn jemand mein IPhone findet, woher kriegt er meinen Fingerabdruck. Ich verwende mein IPhone ohne Password. Wenn ich mein Telefon einfach irgendwo liegen lasse, dann kann ich auch gleich meine Autoschlüssel und Kreditkarte mit Pin dazu legen. Man sollte auf seine Sachen schon aufpassen.
P.S. Ich hab Kohlestaub an meinen Fingern, so das auch Jeder meinen Fingerabdruck sichern kann. ????

Mario am :

Weiß eigentlich jemand wie schwer es ist einen Brauchbaren Fingerabdruck von Objekten zu sichern? Ich ja. Da brauchst du schon fast Laborbedingungen. Glaubt nicht alles was in irgend welchen Serien läuft.

mikejaer am :

CCC, Completer Clabauter Club, Flo dein schreiben spiegelt die Realität

Hubert K. am :

Natürlich! Er zeigt uns, dass es sehr viele Fanboys mit Scheuklappen gibt, die ganz empfindlich sind.

MYTHOSmovado am :

Ich hab jetzt noch nicht alle Kommentare gelesen, aber "EINFACHE" Tricks blieb dann doch hängen.
Was bitteschön ist an diesem Trick einfach?

Ich für meinen Teil habe dann wohl eindeutig zuwenig kriminelle Energie in mir, um das umzusetzen.

AUFWAND und ERTRAG müssen sich zumindest die Waage halten - auch fürs dröge Verbrechervolk; sonst bekommen die doch nicht mal den Arsch vor 11 aus der Duftmulde... ;-)

Anonym am :

@ Tobias: Dich zwingt doch keiner ios oder diese App zu benutzen!!! Der Fingerabdrucktrick ist alt, das gab es schon öfter. Immer locker bleiben

FraScho am :

He Leute, hier geht es um ein Handy und nicht um sonst welche sensiblen Sachen. Welchen Sicherheitsmechanismus kann man denn nicht knacken ? Und wie steht es bei den anderen Herstellern, wird da auch so drauf rum gehauen ? Ich bin davon überzeugt das jeder von euch ach so tollen Kritikern euren Wohnungsschlüssel locker in der Tasche aufbewahrt und den kann euch auch jeder mit ein wenig Übung entwenden. Und dann ? Dann kommt derjenige mit Sicherheit an sensiblere Daten wie die die ihr in eurem bescheuerten Handy habt !
Eure Wohnungstür ist mit Sicherheit leichter zu knacken als das iPhone. Seid froh das die Hersteller sich was einfallen lassen um die Geräte einigermaßen sicher zu machen. Bleibt doch mal realistisch !
Danke Flo für den guten Beitrag, aber das rot ist echt etwas heftig ;)

Boris am :

Aber weis jemand warum der von ccc so zittert? Lol

B. Becker am :

Was ist an Parkinson -LOL- ???

esco am :

Ja Flo ist echt zu weit hergeholt, natürlich wenn sich einer so einen Aufwand macht dann kann er das Teil haben. Sehe ich auch so - Thema Ende!

iDevicer am :

So ein unnötiges Thema...! Ich entsperre mein Telefon seit jeher mit 4 Zahlen, ob auf der Arbeit, in der Öffentlichkeit wie z.b. In der Diskothek. Tausende Augen haben diesen Vorgang mit Sicherheit schon beobachtet. Da finde ich die Lösung des Touch ID Sensors gerade zu brillant! Mit 100%ig hat es da an Sicherheit zugelegt. Wo früher jeder aufmerksame nur mein iPhone in die Hände bekommen konnte braucht es jetzt ein Know-how alla James Bond. Das ist halt der Neid anderer zu neuen Schritten in die Zukunft. Und Flo, deine App find ich klasse! Das Rot genauso wie die ios7 Anlehnung. Rege mich über whatsapp auf, das die es noch nicht geschissen bekommen haben... :)

Boris am :

Irgend jemand lügt apple oder ccc hat apple nicht das gesagt?
Kann man den Sensor mit einem gestohlenen Fingerabdruck auf Plastik-Folie oder gar mit einem abgeschnittenen Finger auslösen?

Nein, der Sensor kann nur mit einem echten, "lebenden" Finger ausgelöst werden. Apple betont, dass tieferliegende Hautschichten gescannt werden. Fingerabdrücke, die von Türgriffen und Gläsern genommen werden, würden von der Touch ID somit nicht als Autorisierung anerkannt.

Brainfood am :

Floh, vielleicht sollest auch DU mal ab und an die rosarote Applebrille absetzen und Dinge realistischer betrachten.

Primär sehe ich "Enterprise" Kunden (von dieser Schwachstelle) davon betroffen, die per ActiveSync Policies explizit ein Löschen des iPhones nach 10x Passwortfehleingabe erzwingen, dass ganze aber mit "haushaltsüblichen" Mitteln & etwas Aufwand umgangen werden kann...

http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren?language=en
Starbug beschreibt schon 2004 ein erfolgreiches austricksen von Biometriescannern, wenn diese Authentifizierungsmöglichkeit 9 Jahre später immer noch auf wackligen Beinen steht, sollte sie Apple erst gar nicht implementieren, …

dass ist wirklich lächerlich hoch 10 und TOTAL BANANE!

sherym am :

Ne Flo, das Touch ID ist deswegen unsicher, da es vom iphone an die server von Apple und dann direkt an die Server der NSA weitergeleitet wird. Ich rate daher jeden auf diesen zu verzichten und ein Sticker draufzukleben!

phpART am :

Nein, das stimmt nicht. Die Abdrücke bleiben auf dem iPhone lokal auf einer extra Komponente und können, wenn einmal gespeichert, nie wieder gelesen werden. So etwas nennt man einseitige Verschlüsselung!

Ulf am :

Mich erschreckt, wie leichtfertig Flo und seine Anhänger hier mit der Bereitstellung biometrischer Daten umgehen.
Was Flo bis heute nicht begriffen hat - und mir regelmäßig einen Schock versetzt - ist nicht, dass jemand mit einem nachgebauten Fingerabdruck euer iPhone entsperren kann. Es ist vielmehr die Tatsache, dass die Leute ihre Finger-Biometrik zur Verfügung stellen.

- Diese ist pro Person einzigartig! Bedenkt das bei eurer leichtfertigen Verwendung!

Ihr fragt euch, warum ich darin ein Problem sehe?
Nungut, ich will es erklären.

Das Problem wird dann entstehen, wenn der Fingerabdruck tatsächlich demnächst anstelle eines Codes verwendet werden kann - und zwar überall im Leben. Bei Einkäufen im Laden, im Internet, beim Geldabheben in der Bank etc.

Wenn ein Code mal geknackt wird, kann er Schaden anrichten. Aber man kann den Code sperren und einen neuen anlegen.

Wenn jedoch euer Fingerabdruck nur ein einziges Mal geknackt wird - z.B. durch Apps auf euren iPhone und missbräuchlich verwendet wird, könnte ihr ihn nicht einfach zurücksetzen. Die Kriminellen könnten ihn fortan überall dort einsetzen, wo ihr ihn im täglichen Leben verwendet.
Man wird in einem solchen Fall in seinem ganzen Leben nie wieder den Fingerabdruck sicher verwenden können.
Denn sollte er ein einziges Mal geknackt worden sein, kann er euer ganzes Leben lang missbräuchlich eingesetzt werden.
Ihr könnt ihn nicht mehr zurücksetzen wie ein Passwort. Ist er einmal geknackt, ist er ein Leben lang futsch.

Das sollten Flo und seine Anhänger einfach mal bedenken.

cyas am :

Das wäre dann aber bei einer Anonymous Attacke auf USA Server auch der Fall. Die haben durch meine Einreise sogar alle 10 Finger plus Bild (von vorne und im Profil)

Ulf am :

Ja klar, wäre das dann auch so. Aber es wäre ein starkes Stück, wenn deren Server so unsicher wären.
Aber alle, die ihren Fingerabdruck mehrmals täglich auf einem Handy verwenden, auf dem sich unzählige Apps befinden und mit dem Gerät man sich in ganz viele verschiedene WLANS einbucht, ist unvergleichlich viel unsicherer, glaube mir.
Und am iPhone ist Biometrik einfach völlig unnötig. Man setzt seinen einzigartiegen Fingerabdruck völlig unnötig ein und öffnet dem Missbrauch in der Zukunft Tür & Tor.
Ich finde es skandalös, dass sich hierum niemand Gedanken macht.

cyas am :

Das ist sogar schon passiert - daher: blöd gelaufen :-) und DAS ist wirklich ein starkes Stück

Mario am :

Meine Fingerabdrücke sind auch schon bei der NSA und habt ihr 'ne Ahnung auf welchem Stand die Rechner im öffentliche Dienst sind, wo jeder seinen Fingerabdruck hinterlegt hat. Da ist der Systemadministrator der der einen Computer an und ausschalten kann. Wenn sich da einer zu schaffen macht, das ist ein Riesen Selbstbedienungsladen.

Jan am :

Die Möglichkeit den Sensor so auszutricksen finde ich trotzdem interessant. Ich habe übrigens mal versucht das Samsung eines Kollegen mit Hilfe eines Fotos zu entsperren (Bei Samsung Smartphones ist es möglich das Telefon mit einer Gesichtserkennung zu sperren / entsperren). Hat leider nicht geklappt aber die Bedingungen war auch nicht optimal =)

Mai am :

Bla

HarryXandeR am :

Blubb

Shadow am :

Hab ich nicht iwo gelesen das der sensor auch misst ob es einen puls gibt?
Dann wäre die methode von CCC auch sinnlos

Naja alles übertrieben ich find den sensor gut das ganze getippe nervt eh

Angelika am :

Ich gebe Flo zu 100% Recht mit seiner Einschätzung des CCC "Hacks". Ja es ist zum einen vielleicht die Aufgabe, "sicherheitsrelevante" Fehler aufzuspüren, aber es ist sicher nicht ihre Aufgabe, eine genaue Anleitung zur Umgehung zu geben.

Aber auch dann verstehe ich für mich den Sensor als Maßnahme um mein IPhone vor den neugierigen Blicken meines Umfeldes zu schützen, ohne eine nervige Codesperre einzusetzen die ich jedesmal eintippen muss, um z.B. meine Mails zu checken. Wenn ich die allerdings auf dem Sperrbildschein erscheinen lasse, ist es eh unsinnig.
Zur Bezahlung von irgendwas, werde ich sie wohl ohnehin nicht nutzen, weshalb ich auch nie NFC aktivieren würde.

Ich denke mein Ziel des Sensors wird erfüllt. Und wenn ein CCC-ler mein Handy dann klaut und entsperrt - hat er ein weiteren Problem: es zu löschen und zurück zu setzen. Macht irgendwie nicht viel Sinn, wenn ich die IOS Registrierungssperre drin habe. Oder??? Dann war die ganze CCC Mühe von mir nen Abdruck und dann das Handy zu klauen, ziemlich sinnlos und ne Anzeige haben sie auch noch am Hals.

Jay am :

Also wenn meine family es schafft meinen Fingerabdruck zu generieren, dann darf sie auch in mein iPhone gucken! Und immerhin kann mir niemand bei der PIN Eingabe über die Schulter gucken!

Brainfood am :

Ihr wollt es einfach nicht verstehen oder?

Bei einer Passworteingabe muss man euch schon direkt auf den Bildschirm starren oder per angedrohter "physischer Gewalt" die Passwortfreigabe erzwingen …

Bei TouchID lässt sich das Gerät, im schlafenden/besoffenem Zustand des Geräteeigentümers, … freischalten

Und wer mehr "kriminelle Energie" aufwenden möchte, macht es eben per genannter Biometie-Kopie und das auch noch mit handelsüblichen Mitteln … also nix mit James Bond teuren hotten totten duden jippi ei jeh Agenten-Zeugs!

An dieser Stelle muss auch nicht viel rum spekuliert werden ob nun die TouchID Daten aus der ARMv8 SecureZone wieder durch Hintertüren ins OS -> Richtung -> NSA übertragen werden können …

Hier wird ein offensichtlich eine seit über 2004 (siehe: Starbug Beitrag) anfällige Authentifizierungsmethode massentauglich gemacht.

Bequemlichkeit -> Sicherheit

Das scheint bei Apple immer mehr zur Devise zu werden

Alex am :

Wenn jemand es schafft, den Sensor zu überlisten, dann hat er es verdient alle meine Daten zu bekommen??

Das kann doch nicht dein Ernst sein...

Natürlich ist es deutlich besser, den Sensor zu nutzen, als gar keine PIN.

Die Frage ist aber, wie sind die Gefahren einzuschätzen, wie geht der Vergleich aus: 4-stellige PIN, langes Passwort, touchID, was lässt sich ab ehesten knacken.

Und da man zwangsläufig seine Abdrücke auch auf dem Gehäuse hinterlässt, ist nicht auszuschließen, dass ein Dieb über die Abdrücke auf dem Gehäuse durchaus mit deutlich höherer Wahrscheinlichkeit das Gerät entsperren kann also nur mit einer 4-stelligen PIN. Die Wahrscheinlichkeit dürfte immer noch klein sein, aber die Gefahr ist durchaus real, fürchte ich.

Das sollte man als Nutzer wissen. Wer bisher ein langes Passwort genutzt hat, sollte vielleicht doch besser dabei bleiben und nicht auf den Abdruck wechseln.
Wer bisher keine PIN genutzt hat, sollte aber durchaus mindestens auf den Abdruck als Schutz wechseln.

Michael K. am :

"Und hey, wenn er das schafft, dann hat er es auch verdient." - Haha! Full ack. Das selbe habe ich auch gedacht :)

Christoph am :

... Jeder der das so sieht, kann ja auch weiterhin auf den 4-stelligen PIN zum Schutz des iPhone setzen. Das ist BESTIMMT deutlich sicherer als der Fingerabdruck ...

Genau so ist es, fast jeder benutzt den 4-stelligen PIN, man muss dem "Opfer" noch nicht mal sehr nahe sein um den PIN auszuspionieren, sicher kann man die Touch-ID so austricksen, aber es wäre immer noch einfacher das "Opfer" irgend wie zu erpressen damit es das iPhone frei gibt. Nun ja aber über irgend was müssen sich ja die AAFB aufregen! krasse-welt,kopfschüttel

Rainer am :

Lief gerade bei ntv... Lol

Korbi am :

Wie wollen die meinen fingerabdruck bitte kriegen -.-

cyas am :

Ist auf deinem Gerät überall ;)

Mario am :

Den kriegst du aber nicht sauber gesichert.

Korbi am :

Eben

Luca am :

Echt krass übertrieben :D
Und 2. ich weiß nicht ob es ein Bug ist oder eine Funktion aber wenn ich jetzt dieses Symbol < mit einer 3 dran schreibe ist der Text ab < weg
Zb. Mein Text lautet "i < 3 under the dome"
Jetzt ohne Leerzeichen "i

Eric am :

DANKE Flo!
Nach der ganzen Presse wo man mit Kopfschütteln den Artikel überfliegt tut dein Statement richtig gut.
Das ein Fingerabdruckscan in dieser Preisklasse nicht 100% sicher ist sollte jedem klar sein.
Es kommt ja nicht von irgendwoher das "sichere" Scanner locker 2-3x so viel kosten wie das iPhone alleine und noch andere Biometrische Daten abfragen.

Ich sehe das ganze dennoch als extrem sicher an am iPhone.
Man bedenke das man für eine Kopie des Fingerabdrucks eine wirklich saubere Vorlage braucht.
Den Abdruck also direkt vom iPbone zu nehmen kann man fast vergessen.
Auch das Beispiel mit dem Wasserglas wird in der Praxis schwer wenn man bedenkt wie oft man ein Glas beim trinken an der gleichen Stelle berührt und somit den Abdruck "verunreinigt".

Im Vergleich dazu möchte ich nicht wissen wieviele Personen Geburtsdaten als PIN verwenden.
Und diese sind in Zeiten des Social Networks und Google durchaus noch leichter zu "Hacken" ;)

Anonym am :

Kann man den Sensor eigentlich auch mit der Nase benutzen?

Unilife am :

Kannst es ja ausprobieren. Und danach mit deiner Eichel - lol

Anonym am :

Hallo Flo!

Ich lese Deine Infos sehr gerne.
Aber da handelt es sich echt um ein Sicherheitsrisiko.
Somit sind die Iphonedaten auslesbar.
Hier geht es nicht um das Freundinenverzeichnis des Schülerbuben, sondern um die Umsetzung bei Industriespionage.

Diesen simplen Trick hätte das System erkennen MÜSSEN!!!

Agrigor am :

Ich glaub du hast Gefrierbrand! Der Artikel ist genauso dumm, wie der über die Sicherheit von iMassage... -> Feed endgültig abbestellt! -.-

Anonym am :

Mir totalll egalll !!!!!! Bin glücklicherweise nicht so wichtig !!!
Ich freu mich auf Touch ID. Endlich keinen Code mehr eingeben.
Danke Apple !!!

Unilife am :

Hab ich schon seit gut 1. Jahr, mit PW-Pilot aus Cydia. Wenn Apple mal mitdenken würde u. nicht krampfhaft Technikinnovativ sein wollte, dann bräuchte es solche grenzwertige Technik nicht. Mein iPaq von HP hatte solch einen Scanner schon vor ca. 10 Jahren. Völliger Nippes. Der tägl. Gebrauch wird zeigen, wie tauglich der Einsatz auf Dauer ist.

Thomas am :

Habe mir das Video gerade einmal angeschaut. Es ist fast wie in Kochschows, "Ich habe da mal etwas vorbereitet". Ich glaub der richtige Hacker am Rechner eines CCC Mitgliedes der sagt mein Rechner ist nicht zu hacken, wird auch diesen hacken oder umgehen.

Finde diese Äußerung auch unpassend.

Tobi am :

Geiler Artikel Flo! Hatte ein wenig Grinsen bei deiner Ironie und dem leichten Sarkasmus :)

Quickmix am :

Zum Thema CCC muß man wirklich nix mehr sagen.
Die waren in den 80/90ern mal richtig gut. Heute nur noch Blub ;)

Angelika am :

1. CCC gibt eine genaue Anleitung (Straftatbestand ???)
2. Sensorsperre ist immer noch besser als garkeine, was die meisten haben, weil eine Pin-Code-Sperre (die ohnehin noch dahinter liegt) einfach nur nervt.
3. Hat IOS für Diebstähle noch die Aktivierungssperre drin was eine aufwändige Aktion ala CCC recht unsinnig macht.
4. bin ich nie besoffen und hab nen leichten Schlaf.
5. Kennen BND, NSA und MI5 ohnehin alle meine Daten, wenn die für sie interessant sind.
6. Sieht vieles nach Neiddebatte aus, weil Apple mal wieder als erstes sowas in einem Smartphone anbietet und
7. bekommt die NSA-Diskussion gerade in Bezug auf den FAS langsam bei einigen paranoide Züge.

In diesem Sinne -- die Nutzung ist freiwillig und nicht vorgeschrieben, ebenso wie der Kauf eines 5S oder nicht.

Anony am :

Und ich kacke in einen Beutel, lege ihn dir auf den Rücken und behaupte: er hätte heilende Wirkung!

Scheiße bleibt Scheiße, egal ob mit Gold, Silber oder Spacegrau umhüllt

TouchID ist unsicher.

apfelfreak am :

Niveau zu Hause vergessen?

HarryXandeR am :

Was ist das den für ein lächerlicher Beitrag?

apfelfreak am :

Flo hat definitiv Recht. Diese ständigen Neider, Skeptiker und Schwarzdenker gehen mir so langsam auch nur noch auf den Sack ums vorsichtig auszudrücken. Chillt mal etwas und genießt eurer Leben anstatt ständig bei allem etwas negatives zu suchen.

Eman779 am :

Dann nutze es nicht. Ist jedem selbst überlassen. PIN ist auch unsicher, Wischgesten auch und wenn irgendwann die Iris abgetastet werden kann, kommt auch jemand daher und findet eine Möglichkeit. Nutze das was deiner Meinung nach am sichersten ist und freu dich auf das was du nutzt.
Oder würdest du etwas besseres vorschlagen können?

iJuergen am :

Naja, ob das jetzt Banane ist?
Auf jeden Fall ist es eine Art nach Aufmerksamkeit zu heischen, die dem CCC nicht steht. Einen PIN Code mit dem Fernglas auszuspähen ist halt nicht so spektakulär.
Aber klar, wer denkt der Fingerabdruck sei die Beste Erfindung seit PGP ist jetzt gewarnt.

Anonym am :

"welches man mit alltäglichen Mitteln nicht aushebeln kann."

-also hier sind cams und printer schon recht weit verbreitet.

Mac_68 am :

Hallo Zusammen,

habe das 5s seid gestern im Gebrauch, der Sensor ist super und total praktisch, das ist es. Sicherheit? Na der 4 stellige Code war der Besser?

Das Video ist gaga, was erwarten User von dem Sensor - 100% Sicherheit? Nee, nicht wirklich und wer Apple nicht will, muss es ja nicht kaufen.

Ralf

derBrodi am :

Man kann ja auch die Nasenspitze für die Touch ID benutzen. Funktioniert genauso gut, und einen Nasenabdruck hinterlässt man ja nicht überall. ;)

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen