Sensoren 15.04.2020, 07:01 Uhr

Unsicherheitsfaktor beim Smartphone: der Fingerabdruck

Forscher, die für die Cisco Talos Intelligence Group arbeiten, haben herausgefunden, dass sich mit wenig finanziellem Aufwand, Fingerabdrücke fälschen lassen. Damit konnten sie Smartphones und Laptops entsperren.

Mit dem Fingerabdruck das Smartphone entsperren

Das Smartphone mit dem Fingerabdruck zu entsperren, ist eine gängig Methode.

Foto: panthermedia.net/ Wavebreakmedia ltd

Die Cisco Talos Intelligence Group hat sich auf kommerzielle Bedrohungsszenarien spezialisiert. Dafür beschäftigt sie Forscher, Analysten und Ingenieure weltweit, die Schwachstellen aufdecken. Aktuell hat ein Team sich mit der Sicherheit der Fingerabdrucksensoren beschäftigt. Sie werden bei Smartphones, Tablets und Laptops eingesetzt. Ausgestattet mit einem 3D-Drucker und einem Budget unter 2.000 US-Dollar schafften die Forscher es, fünf von sechs Modellen mit einem gefälschten Fingerabdruck zu entsperren.

Der Fingerabdruck gehört zu den sogenannten biometrischen Authentifizierungsmethoden. 2013 führte Apple diese Technologie unter dem Namen Apple TouchID flächendeckend auf dem iPhone 5 ein. Sie hat die Passwörter als bis dato traditionelle Authentifizierungsmethode abgelöst. Seitdem haben sich drei Technologien von Sensoren entwickelt, die hauptsächlich zum Einsatz kommen: kapazitive und optische Sensoren, sowie solche auf Ultraschallbasis. Die meisten Unternehmen lassen Sensoren von Zulieferbetrieben entwickeln und bauen, um sie anschließend in das Gerät zu integrieren. Ausnahme ist Apple, die seit 2012 eigene Sensoren herstellen. Kapazitive Sensoren sind vergleichbar mit dem Prinzip des Plattenkondensators. Der Sensor ist die eine Platte, die andere das Messobjekt gegenüber, in diesem Fall der Finger. Zwischen den Platten entsteht ein elektrisches Feld, wodurch der Fingerabdruck erkannt wird. Optische Sensoren lesen in der Tat das Bild des Fingerabdrucks, während Ultraschallsensoren aus dem Ultraschallimpuls und den zurückkommenden Echos ein Bild erstellen. Denn die Rillen, Erhebungen und Vertiefungen des Fingers sind einmalig und absorbieren den Ultraschall unterschiedlich.

In drei Varianten zum gefälschten Fingerabdruck

Die Forscher verwendeten im Rahmen ihrer Teste drei verschiedene Verfahren, um an den originalen Fingerabdruck zu gelangen: ein Abdruck in Plastilin, ein Fingerabdruckscanner in Kombination mit Arduino Uno, einem Open-Source-Mikrocontroller-Board, und einem hochauflösendem Foto eines Abdrucks, das mit einem Bildbearbeitungsprogramm verfeinert wurde. Der Abdruck in Plastilin stellte die Basis dar, um mithilfe eines 3D-Druckers eine Form zu erstellen. Plastilin eignet sich besonders gut, weil es bei hohen Temperaturen weich wird und sich sogar verflüssigen lässt. Die Forscher nutzten ein Heißluftgebläse und erstellten dann einen Fingerabdruck, den sie anschließend per 3D-Drucker zu einer Form druckten. Da diese noch nicht hart genug war und zudem giftige Stoffe enthielt, musste sie in einer UV-Kammer ausgehärtet und ihr darin die Toxizität entzogen werden. Mit dieser Methode waren die Forscher zum großen Teil erfolgreich, allerdings mit dem Schwachpunkt, dass sie zunächst rund 50 Formen produzieren mussten – ein enormer Zeitaufwand.

Bei der zweiten Variante erstellten die Forscher ein Bitmap-Bild. Dafür verwendeten sie einen Temperatursensor und den sogenannten Arduino Uno, einen Mikrocontroller, an den sich Display, Motoren, Sensoren oder auch Lautsprecher anschließen lassen und die der Controller steuern, auslesen und miteinander verknüpfen kann. Heraus kam ein Bild in der Größe 256 mal 288 Pixel, mit dem die Forscher ebenfalls eine ordentliche Erfolgsquote erzielten.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
HygroMatik GmbH-Firmenlogo
Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
Netzgesellschaft Potsdam GmbH-Firmenlogo
Projektingenieur (m/w/d) für Automatisierung und Netzführung Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
B. Braun Melsungen AG-Firmenlogo
Senior Expert (w/m/d) Manufacturing Digitalization B. Braun Melsungen AG
Melsungen Zum Job 
Heuft Systemtechnik GmbH-Firmenlogo
Projektingenieur - Schwerpunkt Automatisierung, IT und Netzwerkinfrastruktur (m/w/d) Heuft Systemtechnik GmbH
Burgbrohl Zum Job 
AGR Betriebsführung GmbH-Firmenlogo
Ingenieur Leittechnik (m/w/d) AGR Betriebsführung GmbH
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Modellierer / CAD-Administrator (m/w/d) Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Ingenieur (m/w/d) mit Schwerpunkt Datenmanagement / Informationsmanagement Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
AVM-Firmenlogo
Team Lead Software Entwicklung Treiberintegration (w/m/d) AVM
AVM-Firmenlogo
Entwickler für Hochfrequenztechnik (w/m/d) AVM
Hochschule Bielefeld-Firmenlogo
W2-Professur Softwaresysteme Hochschule Bielefeld
Bielefeld Zum Job 
Ministerium für Verkehr Baden-Württemberg-Firmenlogo
System- und Anlagenbetreuung Tunnel (w/m/d) Ministerium für Verkehr Baden-Württemberg
Stuttgart Zum Job 
Flughafen München GmbH-Firmenlogo
Projektingenieur Sicherheitstechnik Sprachalarmierung (w/m/d) Flughafen München GmbH
München Zum Job 
VIVAVIS AG-Firmenlogo
Referent für Standardisierung und Förderprogramme / Wissenschaftlicher Mitarbeiter (m/w/d) VIVAVIS AG
Ettlingen Zum Job 
VIVAVIS AG-Firmenlogo
Produktmanager (m/w/d) - Metering Devices und Steuerbox VIVAVIS AG
Koblenz, Ettlingen Zum Job 
B. Braun Melsungen AG-Firmenlogo
Project Manager (w/m/d) Operational Technology B. Braun Melsungen AG
Melsungen Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professorin | Professor (m/w/d) für das Lehrgebiet "Ingenieursinformatik/Embedded Systems" THD - Technische Hochschule Deggendorf
Deggendorf Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Lehrgebiet "Autonome und eingebettete Systeme" THD - Technische Hochschule Deggendorf
Deggendorf Zum Job 

Für die dritte Methode fotografierten die Wissenschaftler einen Fingerabdruck auf Glas, um ein hochauflösendes Bild zu bekommen. Mit Graphitpulver und einem Pinsel erhöhten sie den Kontrast.

Mit zwei ihrer Methoden waren die Forscher erfolgreich

Die Forscher haben herausgefunden, dass sie mit dem per Foto hergestellten Fingerabdruck die wenigsten Chancen auf Erfolg haben: In nur rund 40% der Versuche ließ sich ein iPhone 8 damit entsperren. Mit den beiden anderen Methoden hingegen waren sie in mehr als 80% ihrer Versuche erfolgreich. Neben dem iPhone 8 und dem iPad von Apple testeten die Forscher auch die Geräte Galaxy S10 und Galaxy Note 9 von Samsung sowie das Huawei 7X. Bei fünf Laptops mit den Betriebssystemen Windows 10 und Windows Hello gelang es den Forschern nicht, die Geräte zu entsperren. Sie vermuten, dass ein Algorithmus einen zusätzlichen Schutz bietet, der den hinterlegten und erkannten Abdruck miteinander abgleicht. Ein MacBook Pro aus dem Jahr 2018 entsperrten die Forscher in fast 100% ihrer Versuche zuverlässig mit dem Abdruck aus dem Scanner, während es ihnen mit dem abfotografierten Abdruck nur in rund 60% der Versuche gelang.

Die Forscher leiten aus ihren Ergebnissen folgendes Fazit ab: Der durchschnittliche Nutzer muss nicht unbedingt zusätzliche Sicherheitsvorkehrungen treffen. Auch wenn mit wenig finanziellem Aufwand Erfolge erzielt werden konnten, war der Zeitaufwand sehr groß. Sollten sich allerdings sensible Daten auf dem Smartphone oder Laptop befinden, empfiehlt sich eine höhere Sicherheitsstufe, zum Beispiel mit zusätzlichen Passwörtern oder der sogenannten Zwei-Faktor-Authentifizierung.

Mehr zum Thema Sensoren:

 

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.