Unsicherheitsfaktor beim Smartphone: der Fingerabdruck

Die Cisco Talos Intelligence Group hat sich auf kommerzielle Bedrohungsszenarien spezialisiert. Dafür beschäftigt sie Forscher, Analysten und Ingenieure weltweit, die Schwachstellen aufdecken. Aktuell hat ein Team sich mit der Sicherheit der Fingerabdrucksensoren beschäftigt. Sie werden bei Smartphones, Tablets und Laptops eingesetzt. Ausgestattet mit einem 3D-Drucker und einem Budget unter 2.000 US-Dollar schafften die Forscher es, fünf von sechs Modellen mit einem gefälschten Fingerabdruck zu entsperren.

Der Fingerabdruck gehört zu den sogenannten biometrischen Authentifizierungsmethoden. 2013 führte Apple diese Technologie unter dem Namen Apple TouchID flächendeckend auf dem iPhone 5 ein. Sie hat die Passwörter als bis dato traditionelle Authentifizierungsmethode abgelöst. Seitdem haben sich drei Technologien von Sensoren entwickelt, die hauptsächlich zum Einsatz kommen: kapazitive und optische Sensoren, sowie solche auf Ultraschallbasis. Die meisten Unternehmen lassen Sensoren von Zulieferbetrieben entwickeln und bauen, um sie anschließend in das Gerät zu integrieren. Ausnahme ist Apple, die seit 2012 eigene Sensoren herstellen. Kapazitive Sensoren sind vergleichbar mit dem Prinzip des Plattenkondensators. Der Sensor ist die eine Platte, die andere das Messobjekt gegenüber, in diesem Fall der Finger. Zwischen den Platten entsteht ein elektrisches Feld, wodurch der Fingerabdruck erkannt wird. Optische Sensoren lesen in der Tat das Bild des Fingerabdrucks, während Ultraschallsensoren aus dem Ultraschallimpuls und den zurückkommenden Echos ein Bild erstellen. Denn die Rillen, Erhebungen und Vertiefungen des Fingers sind einmalig und absorbieren den Ultraschall unterschiedlich.

In drei Varianten zum gefälschten Fingerabdruck

Die Forscher verwendeten im Rahmen ihrer Teste drei verschiedene Verfahren, um an den originalen Fingerabdruck zu gelangen: ein Abdruck in Plastilin, ein Fingerabdruckscanner in Kombination mit Arduino Uno, einem Open-Source-Mikrocontroller-Board, und einem hochauflösendem Foto eines Abdrucks, das mit einem Bildbearbeitungsprogramm verfeinert wurde. Der Abdruck in Plastilin stellte die Basis dar, um mithilfe eines 3D-Druckers eine Form zu erstellen. Plastilin eignet sich besonders gut, weil es bei hohen Temperaturen weich wird und sich sogar verflüssigen lässt. Die Forscher nutzten ein Heißluftgebläse und erstellten dann einen Fingerabdruck, den sie anschließend per 3D-Drucker zu einer Form druckten. Da diese noch nicht hart genug war und zudem giftige Stoffe enthielt, musste sie in einer UV-Kammer ausgehärtet und ihr darin die Toxizität entzogen werden. Mit dieser Methode waren die Forscher zum großen Teil erfolgreich, allerdings mit dem Schwachpunkt, dass sie zunächst rund 50 Formen produzieren mussten – ein enormer Zeitaufwand.

Bei der zweiten Variante erstellten die Forscher ein Bitmap-Bild. Dafür verwendeten sie einen Temperatursensor und den sogenannten Arduino Uno, einen Mikrocontroller, an den sich Display, Motoren, Sensoren oder auch Lautsprecher anschließen lassen und die der Controller steuern, auslesen und miteinander verknüpfen kann. Heraus kam ein Bild in der Größe 256 mal 288 Pixel, mit dem die Forscher ebenfalls eine ordentliche Erfolgsquote erzielten.

Für die dritte Methode fotografierten die Wissenschaftler einen Fingerabdruck auf Glas, um ein hochauflösendes Bild zu bekommen. Mit Graphitpulver und einem Pinsel erhöhten sie den Kontrast.

Mit zwei ihrer Methoden waren die Forscher erfolgreich

Die Forscher haben herausgefunden, dass sie mit dem per Foto hergestellten Fingerabdruck die wenigsten Chancen auf Erfolg haben: In nur rund 40% der Versuche ließ sich ein iPhone 8 damit entsperren. Mit den beiden anderen Methoden hingegen waren sie in mehr als 80% ihrer Versuche erfolgreich. Neben dem iPhone 8 und dem iPad von Apple testeten die Forscher auch die Geräte Galaxy S10 und Galaxy Note 9 von Samsung sowie das Huawei 7X. Bei fünf Laptops mit den Betriebssystemen Windows 10 und Windows Hello gelang es den Forschern nicht, die Geräte zu entsperren. Sie vermuten, dass ein Algorithmus einen zusätzlichen Schutz bietet, der den hinterlegten und erkannten Abdruck miteinander abgleicht. Ein MacBook Pro aus dem Jahr 2018 entsperrten die Forscher in fast 100% ihrer Versuche zuverlässig mit dem Abdruck aus dem Scanner, während es ihnen mit dem abfotografierten Abdruck nur in rund 60% der Versuche gelang.

Die Forscher leiten aus ihren Ergebnissen folgendes Fazit ab: Der durchschnittliche Nutzer muss nicht unbedingt zusätzliche Sicherheitsvorkehrungen treffen. Auch wenn mit wenig finanziellem Aufwand Erfolge erzielt werden konnten, war der Zeitaufwand sehr groß. Sollten sich allerdings sensible Daten auf dem Smartphone oder Laptop befinden, empfiehlt sich eine höhere Sicherheitsstufe, zum Beispiel mit zusätzlichen Passwörtern oder der sogenannten Zwei-Faktor-Authentifizierung.

Mehr zum Thema Sensoren:

• ETH Zürich entwickelt Roboterhaut, die fühlen kann
• Sensor erfasst reife Lebensmittel, bevor diese verderben
• Smarte Windeln melden sich, bevor die Haut Schaden nimmt