Chaos Computer Club behauptet Fingerabdrucksensor des iPhone 5S zu umgehen

| 6:15 Uhr | 19 Kommentare

Seit der Einführung von Touch ID und somit des Fingerabdrucksensors beim iPhone 5S wurde viel über die Sicherheit des Systems geschrieben (z.B. hier und dort). Wir sind nach wie vor davon überzeugt, dass Touch ID deutlich sicherer als der Passcode ist, geschweige denn als gar keinen Passcode zu vergeben. Nichtsdestotrotz gibt es kein System, welches zu 100 Prozent sicher ist. Darüber muss man sich bewusst sein und genau dies will der Chaos Computer Club (CCC) nun anhand von Touch ID bewiesen haben.

iphone5s_touch_id

Dem Biometrie-Team des CCC ist es angeblich gelungen den Fingerabdrucksensor des iPhone 5S zu überlisten. Der Weg sieht wie folgt aus. Der CCC hat einen Fingerbadruck von einer Glasoberfläche abfotografiert und daraus einen künstlichen Finger erzeugt. Auf diese Art und Weise soll es möglich gewesen sein, ein iPhone 5S, welches mit Touch ID geschützt war, zu entsperren.

„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Ganularität unseres Kunstfingers ein wenig erhöhen“, erklärt der Hacker mit dem Pseudonym starbug, welcher durch Experimente die Methode für die Überlistung des Sensors optimiert hat.

Genau wie bei jedem Sicherheitssystem müssen Benutzer eines iPhone 5S sich darüber im Klaren sein, dass das System umgangen werden kann. Bei dem hier gezeigten Video bleiben allerdings viele Fragen unbeantwortet. Warum wird nicht das gesamte Prozedere dokumentiert. Warum verwendet der „Hacker“ zwei unterschiedliche Finger. Wird vielleicht der zuvor hinterlegte Mittelfinger durch die Folie gescannt und das iPhone 5S freigeschaltet?

Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Nehmen wir mal an, dass der CCC es tatsächlich geschafft hat Touch ID zu überlisten, wieviel kriminelle Energie muss ein echter Bösewicht aufwenden, das iPhone 5S zu entsperren. Seid euch einfach darüber bewusst, dass keine Daten auf irgendeinem Gerät zu 100 Prozent sicher sind und geht, wo auch immer, sensibel mit euren Daten um. (Danke für eure Hinweise)

19 Kommentare

  • DG

    Umgehen nenn ich das nicht gerade, wenn man von seinem Finger einen „Abdruck“ macht ist das wirklich kein wunder das man das iPhone damit entsperren kann.
    Aber ja klar, es ist jetzt natürlich ganz gefährlich das Leute von jemanden den Finger „kopieren“ und dann auf das iPhone zugreifen, ja große Sicherheitslücke…
    Aber den Typen kann man eh nicht wirklich ernst nehmen, denn so wie der zittert muss der Drogen nehmen bis zum umfallen… (Ist bestimmt noch nach dem Video umgekipft 😉 )

    23. Sep 2013 | 6:47 Uhr | Kommentieren
    • Mr.Apple

      Da stimme ich dir zu.
      Sicherlich mag es solche Fingerleser geben, die man auch nicht mti einem Abdruck umgehen kann, aber die findet man dann am Bunker im Weißen Haus und nicht an nem Smartphone für ein paar hundert Euro..

      Mal abgesehen davon schreibt Macerkopf wenigstens umgehen und nicht wie andere Websites „geknackt“ oder „gehackt“.

      23. Sep 2013 | 7:09 Uhr | Kommentieren
  • Alex

    In der IT-Sicherheit sagt man, der Schutz der Daten darf nur vom Schlüssel abhängen, nicht vom Algorithmus. Der Algorithmus ist bekannt, und der Benutzer muss den Schlüssel geheim halten.
    Diese Geheimhaltung ist bei einem Passcode möglich, zumindest so lange Gedankenlesen noch nicht funktioniert; einen Fingerabdruck hingegen kann man nicht geheimhalten. Insofern ist der Fingerabdruck per se nicht zum Schutz von Daten geeignet.
    Außerdem kann man für verschiedene Zugänge verschiedene Passcodes verwenden. Verschiedene Fingerabdrücke geht nicht, so dass ein Ladenbesitzer, bei dem ihr euch beim Einsatz eurer Kreditkarte mit Fingerabdruck legitimieren müsst, mit den gewonnenen Daten das iPhone, das Laptop und euren biometrischen Personalausweis entsperren kann.

    Persönliche Angriffe gegen den Typen könnt ihr euch übrigens schenken, die lassen euch bloß hilflos wirken. Wenn man mit Argumenten nicht gewinnen kann, wird man persönlich. Just4info, fragt einen Arzt eures Vertrauens: das Zittern wird eine Krankheit sein. Mein ehemaliger Mitbewohner hat auch so gezittert, als Folge seiner Zuckerkrankheit.

    23. Sep 2013 | 7:18 Uhr | Kommentieren
    • thorsten

      Das Passwort ist leider in Zeiten von großen Computern auch kein ultimativer Schutz – insbesondere wenn es nur 4 Stellen hat. Ich habe mal Freunde aufgefordert mein IPad-Passwort zu knacken, nachdem sie meine Eingabe beobachtet haben. Manche kannten es schon nach dem ersten Mal. Mal abgesehen von den berüchtigten Fettfingern, die eine Eingabe erahnen lassen, und immer mal wieder auftauchenden Lücken.
      Ich denke, dass wer möchte schon irgendwie immer ein Passwort knacken kann. Es könnt halt drauf an, wie viel kriminelle Energie dieser jemand aufbringt, um dies zu tun.

      23. Sep 2013 | 8:25 Uhr | Kommentieren
    • Rob

      Hallo Alex,
      danke für den sehr weitsichtigen und sehr guten Beitrag! +1 !

      23. Sep 2013 | 10:50 Uhr | Kommentieren
  • Florian S.

    wieviel kriminelle Energie muss der Angreifer aufwenden, das iPhone 5S zu entsperren?

    Soviel wie die NSA?

    23. Sep 2013 | 7:58 Uhr | Kommentieren
    • Rob

      Nein, es reicht, dass er sich Polizei nennt und glaubt, dass du was blödes gemacht hast. Ein Fingerabdruck braucht keine Anordnung eines Richters.

      Wie schnell können die plötzlich auf Dein iPhone zugreifen und Dich in Erklärungsnöte bringen?

      23. Sep 2013 | 10:57 Uhr | Kommentieren
      • Markus

        Und wenn Du von der Polizei aufgefordert wirst, Dein Handy per PIN zu entsperren, weigerst Du Dich ?!
        Naja, selbst wenn, dafür brauchen die Deinen Fingerabruck oder PIN garantiert nicht, da haben die sowieso andere Möglichkeiten… :/

        23. Sep 2013 | 14:40 Uhr | Kommentieren
  • Sebastian

    Wer so viel Angst hat soll sein iPhone am besten im Safe immer aufbewahren. Meiner Meinung sollte man auf ein Smartphones egal welches keine wichtige Daten packen. Wer da trotzdem Angst hat wie gesagt Safe ist eigentlich gut gesichert.

    23. Sep 2013 | 8:16 Uhr | Kommentieren
  • Noob

    Bei dem Zittern muss ich meinem Vorredner recht geben. Die Anmerkung fand ich schon im Artikel extrem unpassend.

    Aber zum Thema: Touch ID tut für mich genau das, was es soll: ich habe endlich einen Code im Handy, so dass nicht jeder besoffene Kumpel oder Kollege mein Handy (vorher aus Bequemlichkeit ohne Code) entsperren kann.

    Und ganz simpel: Touch ID funktioniert zumindest bei mir sehr zuverlässig.

    Ich warte schon gespannt darauf, dass Apps den Sensor auch nutzen können. Das könnte ja ohne direkten Zugriff der App auf den gespeicherten Abdruck geschehen. Apple denkt sich da bestimmt noch was aus.

    BTW: der „Gesichtsscan“ vom Galaxy ist doch keinen deut besser.

    23. Sep 2013 | 8:29 Uhr | Kommentieren
  • Uwe M.

    Das hat ja gar nichts mit knacken zu tun, das ist einfach nur einen Fingerabdruck fälschen. Genau wie man einen Pass fälscht oder Geld fälscht oder halt ein amtliches Dokument. Nicht mehr und auch nicht weniger. Das haben wir ja nun schon seit Jahren in amerikanischen Krimis rauf und runter sehen können das so etwas genutzt wird, jetzt ist es dann Realität.

    23. Sep 2013 | 8:39 Uhr | Kommentieren
  • matze

    hahaha warum bin ich nicht erstaunt über diese meldung?!
    ich bin ip5-besitzer und würde mir niemals das 5s holen. ich lehne mich zurück und schaue den ganzen versuchskaninchen mit dem 5s zu und lasse apple erstmal erfahrungen mit dieser neuen technologie sammeln. ich komme selber aus der sicherheitsbranche und weiß, daß dies jahre dauern kann/wird.

    23. Sep 2013 | 8:45 Uhr | Kommentieren
  • TechnikDieBegeistert

    Ich bin ja eigentlich immer ganz interessiert dabei wenn der CCC was auf die Beine stellt, aber das….

    „ABUS muss leider bekannt geben dass sein neues Sicherheitsschloss bereits geknackt wurde. Hierfür muss lediglich ein Abdruck des Originalschlüssels erstellt werden um einen Nachschlüssel anzufertigen“.

    Echt jetzt? Wenn es wirklich jemand schaffen sollte an einen „guten“ Abdruck von mir zu kommen (dieser dürfte nicht verschmiert sein, vorzugsweise auf einer glatten, geraden Oberfläche sein, denn ich bezweifle dass man ihn von einem gebogenen Glas verlässlich abbekommt, man muss eine Kamera zur Hand haben die in der beschriebenen Auflösung knippst, usw…usw… klingt nach einer echt praktikablen Lösung.

    Ganz im Ernst: wenn jemand wirklich an meine Daten will und mein Handy bereits geklaut hat, also auch ein Kabel an das Teil anschließen kann, hat er ganz andere Möglichkeiten sogar viel schneller an alles ran zu kommen.

    Aber die Wahrscheinlichkeit dass es mein Gegenüber schafft, in der Zeit die ich auf der Toilette verbringe alles beschrieben zu bewerkstelligen erachte ich doch als recht unwahrscheinlich.

    Letztlich denke ich auch dass der Kerngrund des Gelingens hier in einem Bug liegt. Apple sagte ja dass der Scanner prüft ob der Finger „lebendig“ ist. Eine Folie ist das nicht. Wenn also lediglich der Ring solche Messungen vornimmt, ignoriert er vmtl. den Abdruck. Würde nämlich geprüft ob der Finger lebendig ist UND der Abdruck der auf dem Ring und dem Sensor selbst liegt zusammenpassen, würde die „Lösung“ des CCC nicht funktionieren.

    23. Sep 2013 | 9:33 Uhr | Kommentieren
  • Robert

    Ganz ehrlich, das Video war ein Kack!
    Wenn man so einen Crack macht dann sollte man auch in der Lage sein es ordentlich zu zeigen – das war am Rande des Fake und einfach schlecht gemacht. Er nutzte den selben Finger auch mit dem Wachs – das ist nicht ok gewesen. Ich wünsche dem CCC das er es richtig schafft und die 25000 kassiert, aber bitte ordentlich zeigen! Wau Holland – wo bist Du? Denke er sitzt mit Jobs auf der Wolke und lacht sich krumm….

    23. Sep 2013 | 10:00 Uhr | Kommentieren
  • gelilimagx

    Mal im Ernst: Wie hoch ist denn die Wahrscheinlichkeit, dass mir jemand eine Knarre an die Stirn hält und meinen Fingerabdruck fordert gegenüber der Wahrscheinlichkeit, dass jemand meine Kreditkarten-Daten oder so klaut und versucht, mein Passwort zu erraten?

    23. Sep 2013 | 10:09 Uhr | Kommentieren
    • Rob

      Hallo gelilimagx,

      Sieh Dich nicht immer als das Zentrum der Bedeutung. Es reicht schon, wenn die Wahrscheinlichkeit signifikant ansteigt, dass so etwas mit Menschen passieren kann?
      Übrigens, alleine schon die Polizei darf sich ohne richterliche Anordnung schon Deinen Abdruck nehmen. Selbst ein Festhalten wegen eines anderen Deliktes kann der Polizei schon helfen, sich Zugang zu deinem iPhone zu verschaffen.

      Frag mal Strafverteidiger, die tagtäglich damit zu tun haben, was sie vom ID-Sensor eines iPhones halten!

      23. Sep 2013 | 10:54 Uhr | Kommentieren
  • thorsten

    Wo ein Wille auch ein weg nix ist sicher , Apple wird schnell handeln müssen !

    23. Sep 2013 | 10:45 Uhr | Kommentieren
  • Ghostwriter

    Hallo,

    also ich freue mich auf den Fingerabdrucksensor (5s Bestellt, kommt aber erst im Oktober)
    Klar ist der Fingerabdrucksensor nicht 100% sicher, aber welche alternativen haben wir denn? Schon mal daran gedacht!

    Mein kleiner konnte meinen Handycode (4 Zahlen) nach 1x zusehen von der Ferne eintippen. Er sagte, er hat sich nicht die Zahlen gemerkt, sonder nur die Position und konnte das Handy mit 2 versuchen entriegeln.

    Seit dem fühle ich mich jedesmal unwohl, wenn ich in der Öffentlichkeit den Handycode eintippe. Und Überwachungskameras gibt es ja auch keine.

    Da braucht sich nur einer im Bus/U-Bahn gezielt platzieren und die Pin abschauen, danach kann er das iPhone/x-beliebiges Smartphone nach dem er es mir entwendet hat, problemlos entsperren.

    So, was denkt ihr nun, geht einfacher, Fingerabdruck nachmachen oder Pin? Welche Methode ist weniger unsicher und welcher Fall ist wahrscheinlicher?

    23. Sep 2013 | 18:18 Uhr | Kommentieren
  • strike2001

    also 2400 dpi drucker kein problem bei uns stehen drucker mit mehr dpi rum wie der Ccc schrieb passende drucker wären auch kein problem , nun fehlt mir nur ein opfer mit 5s und nen f print auf ner oberlfäche was ich auch nicht versteh ist , beim kopieren von geld sind so viele verschiedene schutzmassnahmen in scaner und drucker verbaut , aber nen fingerprint so zu drucken geht -.- gleiches beim personb.

    25. Sep 2013 | 2:46 Uhr | Kommentieren

Schreibe einen Kommentar zu Rob Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert