Fake-Fingerabdruck entsperrt zwei von drei Handys

Der Fingerabdruck eines Menschen ist nach wie vor einzigartig. Aber viele Sensoren werten nur Teilabdrücke aus und lassen sich dadurch hacken.

Klar, Fingerabdruck-Sensoren sind nicht wirklich sicher. Der Chaos Computer Club erschleicht sich fast regelmäßig die Abdrucke von Ministerfingern, um die Unwirksamkeit dieses biometrischen Merkmals zu zeigen. Sogar auf YouTube finden sich ganz öffentlich Anleitungen zum Fälschen eines Fingerabdrucks. Es ist aber alles noch schlimmer als gedacht: Bisher mussten sich Angreifer noch eine Kopie des ?richtigen? Fingerabdrucks besorgen, um einen Sensor mit einer Gummi-Attrappe, einem Foto oder ähnlichem zu überlisten. Jetzt aber haben Sicherheitsforscher gleich einen ?Master-Fingerabdruck? geschaffen, der zwei von drei Smartphones ohne jedes Zutun des eigentlichen Besitzers entsperrt.

Fingerabdruck-Sensoren sind viel zu klein

Ursache der Sensor-Schwäche ist vor allem deren geringe Größe ? da passt gar kein kompletter Fingerabdruck drauf! Um das zu kompensieren, nehmen die Scanner bei der Einrichtung mehrere Teilabdrücke eines Fingers auf. Wenn dann später auch nur ein einziger der Teilabdrücke passt, wird das Gerät freigegeben. Außerdem kann der Benutzer oft mehrere Finger als ?Passwort? nutzen, sodass eine ganze Reihe von Teilabdrücken als Schlüssel gültig ist. Genau da haben die Forscher angesetzt: Sie teilten mehrere Hundert komplette Fingerabdrücke in mehrere Tausend Teilabdrücke auf. Während die kompletten Scans noch jeweils einzigartig waren, galt das für die Teilabdrücke nicht mehr: Etliche von denen passten zu mehreren Fingern!

Sicherheits-Newsletter Sie haben es fast geschafft!

Blitzschnell informiert über Patches
und aktuelle Sicherheitslücken. Um die Bestellung abzuschließen, klicken Sie bitte
auf den Bestätigungs-Link, den Sie soeben per Mail
bekommen haben.

Bitte geben Sie Ihre E-Mail-Adresse ein.

Der Fingerabdruck-Dietrich

Damit war der Knoten auch schon geplatzt: Die Sicherheitsforscher bastelten aus gängigen Teilabdrücken einen neuen Fingerabdruck zusammen, der typische Merkmale vieler Finger enthält: einen ?Master-Fingerabdruck?! In folgenden Versuchen konnten die Forscher dann tatsächlich 65 Prozent getesteter Fingerabdruck-Sensoren überlisten und das zugehörige Handy freischalten. Das war?s: Fingerabdruck-Sensoren sollten Sie nur noch einsetzen, wenn Sie den Komfort genießen ? aber nicht, um sensible Daten zu schützen. Die komplette Fingerabdruck-Studie veröffentlichten die Forscher übrigens beim IEEE (Institute of Electrical and Electronics Engineers), dem weltweiten Berufsverband von Ingenieuren der Elektrotechnik und Informationstechnik.

dieser Seite weitere Infos