23.09.2013, 15:37 Uhr | 0 |

Chaos Computer Club Apple iPhone 5S mit künstlichem Finger entsperrt

Kaum zu kaufen und schon gehackt. Der Chaos Computer Club hat den Fingerabdruck-Scanner des neuen Apple iPhone 5S mit einem künstlichen Finger überlistet. Die CCC-Hacker brauchten für ihren Coup nicht einmal zwei Tage.

CCC-Mitglied überlistet den Fingerscanner des iPhone 5S
Á

Bildschirmfoto aus einem Video von CCC-Mitglied Starbug (Nickname), in dem er zeigt, dass sich der Fingerscanner des iPhone 5S überwinden lässt. Am Mittelfinger ist die Folie mit dem falschen Abdruck zu erkennen. 

Foto: Screenshot ingenieur.de

Am vergangenen Freitag, dem 20. September, war der offizielle Verkaufsstart des sagenumwobenen Apple iPhone 5S, schon am Samstagabend um 22.04 Uhr meldete das Biometrie-Team vom Chaos Computer Club Vollzug. Das Heise-Security-Team hatte den Hackern kurzfristig ein Testgerät besorgt, wofür die Hacker sich in ihrer Pressemitteilung zu ihrem Coup artig bedanken. Die Methode, mit der die Hacker den Fingerabdruckscanner täuschten, hat einen ziemlich langen Bart: Schon vor knapp zehn Jahren demonstrierte der Chaos Computer Club mit der gleichen Methode die Unsicherheit solcher Scanner.

Am Schluss den Abdruck anhauchen und rein in das Smartphone

Und so gehen die CCC-Experten vor: Der Fingerabdruck beispielsweise auf einem Trinkglas des iPhone-Besitzers wird mit Sekundenkleber bedampft. Dabei zeichnen sich die Linien deutlich ab. Dieser dann deutlich sichtbare Fingerabdruck wird mit einer Auflösung von 2400 dpi fotografiert. Dieses Foto muss dann am Computer bereinigt und invertiert werden, das heißt, man muss die Farb- und Grauwerte umkehren. Anschließend druckt man es auf eine Transparenzfolie. Die Auflösung sollte bei maximaler Druckstärke 1200 dpi nicht unterschreiten.

Auf diesen Ausdruck wird einfach hautfarbene Latexmilch oder alternativ weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in der Latexmilch oder dem Holzleim. Nach dem Trocknen kann der gefälschte Finger einfach abgenommen werden. Wenn man diesen falschen Finger dann anfeuchtet, zum Beispiel, indem man ihn anhaucht, so ist es ein Kinderspiel, das interessante iPhone 5S damit zu entsperren.

In seiner Pressemitteilung schreibt der Chaos Computer Club: „Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen.“ Der erfolgreiche Hack in so kurzer Zeit ist ein schwerer Rückschlag für Apple. Der Konzern hatte stets betont, sein Fingerabdruck-Sensor sei sicher. „Wir hoffen, dass dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt“, sagt Frank Rieger, Sprecher des CCC. „Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden. Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.“

Hacker-Wettbewerb ausgerufen

So war es wohl nur eine Frage der Zeit, bis der angeblich sichere Fingerabdruckscanner gehackt wurde. Denn Sicherheitsexperten hatten einen Hacker-Wettbewerb ins Leben gerufen, um Schwachstellen des neuen Smartphones von Apple aufzudecken. Den Siegern wurden 13 000 Dollar Preisgeld und diverse Sachspenden versprochen.

Der Status für den ausgelobten Preis auf der Seite „IsTouchIDhackedYet.com“  wechselte am Sonntagabend um 21:40 Uhr von „Nein“ auf „Vielleicht“. Die Initiatoren fordern von den Hackern des Chaos Computer Club noch ein Video, das den Erstellungsprozess der Attrappe dokumentiert, bevor sie den Coup als erfolgreich bewerten. Dieses befindet sich in Arbeit.

Apple hatte Sicherheit der Technologie beteuert

Noch vor wenigen Tagen hatte Apple die Sicherheit des jetzt gehackten Fingerabdruck-Scanners mit TouchID-Technologie beteuert. Ein Konzernsprecher erklärte, dass die hochauflösend gescannten Fingerabdrücke nicht als Bilder, sondern in Form eines verschlüsselten Datensatzes irgendwo im iPhone-Chip abgelegt werden. Diese digitale Signatur dient dann als Schlüssel zum Entsperren oder auch für Bezahlvorgänge. Der Sprecher betonte, dass Angreifer von außen kaum Möglichkeiten hätten, die abgespeicherten Fingerabdrücke zu entschlüsseln und wiederherzustellen. Dieser Hinweis sollte Befürchtungen zerstreuen, der amerikanische Geheimdienst NSA könne die gespeicherten Fingerabdrücke mit seinen Spionagetechniken auslesen und für seine geheimen Zwecke missbrauchen.

Apple setzt beim iPhone 5S auf einen doppelten Sicherheitsstandard. Im ersten Schritt muss der iPhone-Besitzer für die Nutzung von TouchID einen Pin-Code festlegen. Dieser Pin-Code muss nach jedem Neustart eingegeben werden oder dann, wenn seit dem letzten Entsperren mehr als 48 Stunden vergangen sind. Im zweiten Schritt wird dann der verschlüsselt hinterlegte Fingerabdruck verglichen mit dem auf dem Sensor aufgelegten Finger. Doch wenn dieser aufgelegte Finger gefälscht ist, dann nützt das alles herzlich wenig. Und es ist auch nicht mit einem simplen Update des Betriebssystems getan, um diese sehr schwere Sicherheitslücke zu schließen.

CCC warnt seit Jahren vor Fingerabdrücken als Sperre

„Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung“, erklärt der Chaos Computer Club. Er hofft, die Illusionen auszuräumen, die Menschen gegenüber biometrischen Sicherheitssystemen haben. „Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen.“ Die Empfehlung des CCC: iPhone-Benutzer sollten vermeiden, sensible Daten mit ihrem Fingerabdruck zu sichern. Die Sache mit dem Fingerabdruckscanner hat jedoch noch einen ganz anderen Aspekt. Denn es ist ziemlich einfach, jemanden zum Beispiel bei einer Festnahme dazu zu zwingen, sein Smartphone zu entsperren: „Einen Menschen dazu zu zwingen, ein sicheres Passwort preiszugeben, ist dagegen um einiges schwieriger als einfach das Telefon vor seine Hände in Handschellen zu halten“, meint der Chaos Computer Club lakonisch.

Anzeige
Von Detlef Stoller
Zur StartseiteZur Startseite
schlagworte: 
IT
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden