Chaos Computer Club trickst iPhone-5s-Fingerabdrucksensor aus

23. Sep 2013 13:00 Uhr - sw

Dem Chaos Computer Club ist es nach eigenen Angaben gelungen, die biometrische Sicherheitsfunktion des iPhone 5s (Touch-ID) mit einfachen Mitteln zu umgehen. Demnach genügt es, den Fingerabdruck eines iPhone-5s-Benutzers von einer Glasoberfläche abzufotografieren, um einen künstlichen Finger zu erzeugen, mit dem das Smartphone entsperrt werden kann. Nach Ansicht des Chaos Computer Club sind biometrische Daten zur Verhinderung von unberechtigten Zugriffen "vollkommen ungeeignet".




Die Vorgehensweise: Nach dem Fotografieren des Fingerabdrucks eines iPhone-5s-Users mit einer Auflösung von 2400 dpi wird das Foto am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocken wird der gefälschte Finger abgenommen, durch Anhauchen leicht angefeuchtet und damit das iPhone entsperrt.

"Wir hoffen, dass dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt. Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden. Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern", so CCC-Sprecher Frank Rieger.

Der CCC rät iPhone-5s-Besitzern, sensible Daten nicht per Fingerabdruck zu sichern. Die Verwendung von Touch-ID ist optional, auch das iPhone 5s kann wie frühere Modelle mit einem Zahlencode gesichert werden.

Kommentare

"Der CCC rät iPhone-5s-Besitzern, sensible Daten nicht per Fingerabdruck zu sichern. Die Verwendung von Touch-ID ist optional, auch das iPhone 5s kann wie frühere Modelle mit einem Zahlencode gesichert werden."

Was für eine unsinnige Empfehlung. Narürlich wird der Touch ID verwendet werden. Schliesslich ist es bequem UND relativ sicher. Aber der CCC hatte wieder mal nichts anderes im Kppf, als sich publikumswirksam in Szene zu setzen - nach dem Motto: Uns gibt es noch ...

[quote=Waldknoblauch]Was für eine unsinnige Empfehlung.[/quote]

Was für ein unsinniger Kommentar.

Der CCC trägt mit der Aktion zur Aufklärung bei und schärft das Sicherheitsbewusstsein! Was soll daran schlecht sein? Mir persönlich war jedenfalls nicht klar, dass Touch ID so einfach umgangen werden kann. Bei all den Apple-Werbeaussagen zum Touch-ID ist es erfreulich, auch mal andere Stimmen zu hören. Ob der User Touch ID nutzt, bleibt ihm selbst überlassen. Die Risiken sind aber spätestens jetzt bekannt.

[quote=mayflower]
Was für ein unsinniger Kommentar.
Der CCC trägt mit der Aktion zur Aufklärung bei.[/quote]

Praktisch jeder Schlüssel (Allein der Aufwand variiert) kann kopiert werden - das weiss doch jeder. Trotzdem hat jeder Schlösser am Auto und im Haus und nutzt sie auch ... Mit "Aufklärung" hat das nichts zu tun - man wollte sich halt in Szene setzen - und dafür eignet sich nunmal Apple als prominentes "Opfer" am besten ...

das war ein wettbewerb in dem es darum ging das iphone 5s zu hacken an dem eben auch der ccc teilnahm.
also ruhig blut , der ccc besteht aus renomierten experten und tut nur seinen job. und den eben ganz gut :-)

... der Veröffentlichung der genauen Anleitung kann jetzt jeder Teenager das iPhone hacken ;-)

... was soben schon gesagt wurde: genau dieses Verfahren war jedem halbwegs intelligentem Menschen eh klar. Dass die Meldung es überall in die Headlines hat überrascht mich. Das schlimme: nun kommen die ganzen Dumpfbacken-Kommetare... Ich wundere mich immer wieder, wie schön doch Apple Bashing sein muss.

[quote=mayflower]
... Mir persönlich war jedenfalls nicht klar, dass Touch ID so einfach umgangen werden kann. ...[/quote]

Es ist zwar Unwahrscheinlich, aber trotzdem möglich dass der Typ vom CCC das alles manipuliert hat.
Also erstmal abwarten was da noch für Nachrichten kommen, und ob das Verfahren so von Dritten bestätigt wird.

Der CCC will noch ein zweites ausführliches Video anfertigen, das wird das "so einfach" mit einer professionellen Ausrüstung zeigen.
Und wann hast Du das letzte mal eine transportable Glasplatte angefasst, um dort saubere nicht verwischte Fingerabdrücke zu hinterlassen? - Wenn Du ein Getränkeglas (wenn das nicht wg. der Krümmung sowieso ungeeignet ist) benutzt, hast Du da 10 x oder öfter drauf gefasst, daraus lässt sich wohl kein vernünftiger Abdruck extrahieren.

Ich befürchte nicht, dass irgendwer beabsichtigt, mein iPhone zu knacken und deshalb meine Fingerabdrücke sammelt und nur darauf wartet, mein iPhone zu entwenden. Wesentlich wahrscheinlicher ist, dass ich mein iPhone mal irgendwo liegen lasse oder verliere. Wer es findet hat gar keine Ahnung, wessen Fingerabdruck für das Entsperren erforderlich ist. Selbst wenn ein sauberer Fingerabdruck auf dem iPhone selbst zu finden sein sollte, wird der Finder oder die Finderin mit allergrösster Wahrscheinlichkeit gar nicht versuchen, mein iPhone mit der vom CCC beschriebenen Methode zu knacken. Ich bin einfach froh, wenn er oder sie nicht meine ganzen persönlichen Daten einfach ansehen kann. Das ist mit dem Touch ID sichergestellt.

Anderseits entfällt für mich das mühsame Eintippen des Zahlencodes, jedes Mal wenn das iPhone in den Ruhezustand gefallen ist. Deshalb freue ich mich auf Touch ID und es ist mir völlig egal, ob der CCC die Technik nun mit der beschriebenen Methode überlisten konnte oder nicht.

Vermutlich ging die Absicht von Apple genau in diese Richtung. Also Sicherheit für Otto Normalverbraucher, nicht für Sicherheitsexperten. Wozu also die Aufregung?

Sehe ich auch so .
Außerdem ist davon noch nichts bestätigt worden.
Zur Zeit behaupten sie das sie ihn geknackt haben.
Ich glaube es erst wenn unterschiedliche Personen das Handy
entsperren können.
Selbst dann ist es zum PinCode immer noch besser.

Was mich wirklich stört , das demnächst alle Bargläser mit
Holzleim eingeschmiert sind. Nicht mal seinen
verdienten Whisky kann man in ruhe trinken , immer ist
einer vom CCC in der nähe...oder?

[quote=antonius]das war ein wettbewerb in dem es darum ging das iphone 5s zu hacken an dem eben auch der ccc teilnahm.
also ruhig blut , der ccc besteht aus renomierten experten und tut nur seinen job. und den eben ganz gut :-)[/quote]
wer sagt das ...?

Das ganz große Problem ist, Touch id soll (wenn ich das richtig gelesen habe) auch der Authentifizierung im App Store dienen. Andere werden hier sicher folgen. D.h. via App rechtsverbindlich Verträge abschließen.

Das Beispiel vom CCC ist ganz wichtig um von vornherein klar zustellen, dass dieses System nicht unfehlbar ist.

[quote] Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt. [/quote]

Erst einmal hinterlässt man gar nicht so viele Fingerabdrücke, wie man denkt. Dann sind die meisten davon für eine Übertragung auf ein anderes Medium einfach unbrauchbar - die Daktyloskopen werden mir Recht geben. Das was der CCC da gemacht hat, klappt nur unter optimalen Bedingungen. Wer würde sich diese Arbeit machen, um ein fremdes iPhone zu entsperren? Und war der meist vierstellige PIN-Code da so viel sicherer? Wo es doch genügte, demjenigen, der ihn eingab, einfach über die Schulter zu sehen?

Ich bin der Meinung, dass Apple da in der Sicherheit einen guten Schritt nach vorn gemacht hat.