Gefährliche Sicherheitslücken 13.08.2015, 06:33 Uhr

Hacker können Fingerabdrücke von Android-Smartphones klauen

Ein Passwort kann man ändern, wenn es geklaut wurde, einen Fingerabdruck nicht. Umso alarmierender die Nachricht: Vier US-amerikanische Sicherheitsexperten haben es geschafft, Fingerabdrücke von Android-Smartphone-Usern zu klauen.

Demonstration des Bezahlsystems Apple Pay: Immer mehr Hersteller beziehen den Fingerabdruck in ihre Dienste ein. Entsprechend gut sollten sie ihn sichern, fordern Sicherheitsexperten.

Demonstration des Bezahlsystems Apple Pay: Immer mehr Hersteller beziehen den Fingerabdruck in ihre Dienste ein. Entsprechend gut sollten sie ihn sichern, fordern Sicherheitsexperten.

Foto: Monica Davey/dpa

Vier Forscher des kalifornischen IT-Sicherheitsunternehmens Fireeye nahmen sich die Sicherheitsarchitektur von Smartphones mit Fingerabdruckscanner vor. In einem Bericht, den sie auf der IT-Sicherheitskonferenz Black Hat in Las Vegas Anfang August veröffentlichten, berichten sie von gravierenden Sicherheitslücken auf Geräten mit dem mobilen Betriebssystem Android.

Unter anderem fanden sie heraus, dass der Fingerabdruck des Anwenders auf einem HTC One Max als Bilddatei in einem Verzeichnis mit universalen Leserechten gespeichert wurde. Für einen Hacker sei es ein Leichtes, die Datei abzugreifen. HTC habe diese Schwachstelle aber bereits per Patch behoben, schreiben die Autoren.

Top Stellenangebote

Zur Jobbörse
Sika Deutschland GmbH-Firmenlogo
Projektingenieur (m/w/d) Anlagentechnik mit Schwerpunkt Elektrotechnik Sika Deutschland GmbH
Stuttgart Zum Job 
VDI Zentrum Ressourceneffizienz GmbH-Firmenlogo
Ingenieur*in als Wissenschaftliche*r Mitarbeiter*in VDI Zentrum Ressourceneffizienz GmbH
nsc Sicherheitstechnik GmbH-Firmenlogo
Mess- und Prüfingenieur (m/w/d) nsc Sicherheitstechnik GmbH
Bielefeld Zum Job 
Reinhard Feickert GmbH-Firmenlogo
Bautechniker / Bauingenieur (m/w/d) in der Bauberechnung Reinhard Feickert GmbH
Witzleben Zum Job 
VDI Zentrum Ressourceneffizienz GmbH-Firmenlogo
Ingenieur*in im Themenbereich Circular Ecomony VDI Zentrum Ressourceneffizienz GmbH
Framatome-Firmenlogo
Projektingenieur (m/w/d) für robotikgesteuerte zerstörungsfreie Prüfungen Framatome
Erlangen Zum Job 
WITTENSTEIN SE-Firmenlogo
Produktmanager (w/m/d) Mechatronik WITTENSTEIN SE
Igersheim Zum Job 
Staatliches Baumanagement Hannover-Firmenlogo
Ingenieure (m/w/d) der Fachrichtung Elektrotechnik Staatliches Baumanagement Hannover
Hannover Zum Job 
Sandvik Mining and Construction Deutschland GmbH-Firmenlogo
Technical Sales Manager (m/f/d) Sandvik Mining and Construction Deutschland GmbH
Darmstadt Zum Job 
Netzgesellschaft Gütersloh mbH-Firmenlogo
Leiter (m/w/d) Netzmanagement Netzgesellschaft Gütersloh mbH
Gütersloh Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Wirtschaftsjurist*in / Ingenieur*in (m/w/d) für Contract & Claimsmanagement in Energieprojekten THOST Projektmanagement GmbH
Berlin, Hamburg, Hannover Zum Job 
Richard Liesegang GmbH & Co. KG-Firmenlogo
Projektleiter/-in (m/w/d) Industrieabbruch Richard Liesegang GmbH & Co. KG
Hürth, bundesweit Zum Job 
SWM Services GmbH-Firmenlogo
Ingenieur*in Energieerzeugung (m/w/d) SWM Services GmbH
München Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Projektleiter*in / Senior Projektmanager*in (m/w/d) Bau- / Immobilienprojekte THOST Projektmanagement GmbH
Pforzheim, Stuttgart Zum Job 
Stadtwerke München GmbH-Firmenlogo
Ingenieur*innen (m/w/d) Stadtwerke München GmbH
München Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in (m/w/d) in der Terminplanung (Oracle Primavera) für Industrieprojekte THOST Projektmanagement GmbH
Mannheim, München, Stuttgart, Memmingen, Freiburg Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in (m/w/d) in der Projektsteuerung THOST Projektmanagement GmbH
Burghausen,München,Memmingen Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Projektleiter*in / Projektmanager*in (m/w/d) Bereich Bau / Immobilien THOST Projektmanagement GmbH
Stuttgart,Pforzheim Zum Job 
Bundesverband Porenbetonindustrie e.V.-Firmenlogo
Bauingenieur / Wirtschaftsingenieur (m/w/d) als Referent Technik und Normung Bundesverband Porenbetonindustrie e.V.
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in / Projektmanager*in (m/w/d) für Bauprojekte THOST Projektmanagement GmbH
München Zum Job 

Massenhaftes Ausspähen von Fingerabdrücken wäre eine Katastrophe

Die Autoren gehen davon aus, dass im Jahr 2019 rund 50 % aller ausgelieferten Smartphones mit Fingerabdrucksensor ausgerüstet sein werden. Der Fingerabdruckscanner ist schon heute nicht nur ein nettes Gimmick, mit dem man sein Smartphone flott entsperren kann. Vielmehr dient er bereits zur Autorisierung von Bezahlvorgängen per Smartphone – wie bei Apple Pay.

Das massenhafte Ausspähen von Fingerabdrücken auf Smartphones wäre eine Katastrophe, warnen die Autoren. Denn der Fingerabdruck könne nicht geändert werden, wenn er geklaut wurde, und identifiziere den Anwender ein Leben lang – zum Beispiel auch auf biometrischen Ausweisen.

Die Treiber des Fingerabdruckscanners laufen auf vielen Mobilgeräten auf der untersten Betriebssystemebene, dem Kernel, ab. So auch beim HTC One Max. Ein Hacker, der sich über durchaus bekannte Schwachstellen Zugriff auf den Kernel verschafft habe, könne auch Fingerabdruckdaten klauen, so die Autoren.

Fingerabdruckscanner des HTC One max: Bis vor kurzem hat das Smartphone den Fingerabdruck als Bilddatei in einem Verzeichnis mit universellen Leserechten gespeichert. HTC hat diese Sicherheitslücke aber bereits geschlossen.

Fingerabdruckscanner des HTC One max: Bis vor kurzem hat das Smartphone den Fingerabdruck als Bilddatei in einem Verzeichnis mit universellen Leserechten gespeichert. HTC hat diese Sicherheitslücke aber bereits geschlossen.

Quelle: HTC

Daher sollten Fingerabdrücke in einem extra gesicherten Bereich gespeichert werden, in der sogenannten Trustzone. Und dieser extra gesicherte Bereich müsse die Betriebssystemebene einschließen, fordern die Experten – so wie es das AMR-Sicherheitskonzept Trustzone auch vorsieht. Auch sämtliche Anwendungen, bei denen der Fingerabdrucksensor zu Einsatz kommt, müssten im Sicherheitsmodus ablaufen.

Malware sammelt fleißig jeden Fingerabdruck

Zwar gibt es Gerätehersteller, die dieses Sicherheitskonzept umsetzen. Doch auch auf solchen Geräten entdeckten die Fireeye-Experten Sicherheitslücken. Viele Hersteller sicherten den Sensor nicht ausreichend ab. In einem der vier Angriffsszenarien, die sie beschreiben, haben auch Anwendungen, die nicht im gesicherten Modus laufen, Zugriff auf den Sensor, wenn er im Hintergrund aktiviert sei, und sammelten fleißig jeden Fingerabdruck.

Unter der Überschrift Confused Authorization Attack beschreiben die Autoren einen Angriff, bei dem der Angreifer das Opfer dazu bringt, eine getarnte schädliche Aktion auszuführen. Dabei zeigt eine eingeschleuste Malware dem Anwender einen simplen Entsperrvorgang per Fingerabdruck an. Tatsächlich autorisiert das Opfer jedoch mit seinem Fingerabdruck eine verdeckte finanzielle Transaktion.

Autorisierung ist nicht gleich Authentifizierung

Möglich seien solche Angriffe, wenn Sicherheitssysteme nicht zwischen der Autorisierung, also der Gewährung von Zugangsrechten, und der Authentifizierung des Nutzers unterschieden. In solchen Fällen authentifiziert sich der Nutzer mit seiner Anmeldung beim Smartphone und kann dann einen Vorgang autorisieren, ohne sich dafür erneut ausweisen zu müssen.

 

Ein Beitrag von:

  • Susanne Neumann

    Susanne Neumann ist Webjournalistin. „Inhalt mit Anspruch“ ist das Motto der freien Journalistin und Online-Redakteurin. Sie steht für gründliche Recherche, eine verständliche Darstellung auch komplizierter Sachverhalte und Freude am Thema. Sie hat  Politik-, Theater-, und Kommunikationswissenschaften studiert.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.