Chaos Computer Club hackt Apple Touch ID

iphone_5s_touchid

Gestern Abend bereits ging eine Meldung durch die Techwelt, welche ich nochmal kurz aufgreifen möchte. Wie der Chaos Computer Club aktuell per Pressemitteilung bekannt gibt, ist es ihm gelungen, Apples Fingerabdruckleser „Touch ID“ zu überlisten. Zu diesem Zweck hat man einen Fingerabdruck von einem Glas fotografiert, dieses Bild dann am PC bearbeitet, hochauflösend ausgedruckt und daraus einen „Fingerüberzug“nachgebildet. Dieses Vorgehen ist nicht unbekannt. In nachfolgendem Video hat man noch kurz festgehalten, wie das in der Praxis ausschaut.

Wirklich überraschend kommt das Ganze nicht, denn bereits in der Vergangenheit haben diverse Fachleute einen Fingerabdruck als sichere Zugriffssperre für eher ungeeignet erklärt. Auf der Habenseite für Apple steht zumindest, dass der Sensor im iPhone 5S hochauflösender als üblich ist, sowohl das Foto als auch der Druck des Kunstfingerabdrucks mussten aus diesem Grund ziemlich genau sein. Da Touch ID im iPhone 5S eine optionale Funktion ist, kann man sie einfach deaktiviert lassen, falls man zu viel Bedenken hat.

Vorgehensweise

Die Methode entspricht folgenden Schritten und nutzt Materialen, die in nahezu jedem Haushalt vorhanden sind: Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.

Ergänzende Stellungnahme

Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Ganularität unseres Kunstfingers ein wenig erhöhen“, erklärt der Hacker mit dem Pseudonym starbug, welcher durch Experimente die Methode für die Überlistung des Sensors optimiert hat. „Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen. […]

Wir hoffen, daß dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt […]

Teilen

Hinterlasse deine Meinung
Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.