Apple hat einen Antrag auf ein Patent für eine Technik gestellt, um die Fingerabdrücke von Nutzern über mehrere Mobilgeräte hinweg und auch mit Kassensystemen zu synchronisieren. Das US-Patentamt (USPTO) hat ihn heute veröffentlicht, und Apple Insider ist darauf aufmerksam geworden. Er stammt vom 10. Juli 2013.
Im Jahr 2013 hatte Apple den Fingerabdrucksensor Touch ID mit dem iPhone 5S eingeführt, inzwischen kommen auch iPads mit dieser Technik. Auf diese Weise können Nutzer ihr Gerät entsperren und Käufe mit Apple Pay tätigen – dem bisher nur in den USA angebotenen Bezahldienst. Während der Inbetriebnahme des Geräts hinterlegen Anwender zu diesem Zweck einen oder mehrere Fingerabdrücke.
Bisher werden diese Fingerabdrücke ausschließlich auf dem Gerät gespeichert, für das sie dienen, und zwar in einem Security Enclave genannten Bereich. Auf einer Informationsseite zu Touch ID heißt es: „Die Secure Enclave ist von anderen Bereichen des Chips und iOS abgeschirmt. Daher greifen iOS und andere Apps nie auf Ihre Fingerabdruckdaten zu, sie werden nicht auf Servern von Apple gespeichert, und es wird kein Backup dieser Daten auf iCloud oder an anderen Orten angelegt.“
Dies ist allerdings unpraktisch, wenn ein Anwender mehrere Geräte im Einsatz hat, wie der Patentantrag zu vermerken nicht versäumt. Er schlägt daher vor, die verwendeten „mathematischen Darstellungen Ihrer Fingerabdrücke“ (es handelt sich laut Apple nicht um Bilddateien) verschlüsselt an die Cloud zu übertragen. Um ein zweites Gerät zu aktivieren, müssten Apple-ID und Passwort oder PIN angegeben werden. Es würde aber auch überprüft, ob die Fingerabdrücke zu den hinterlegten passen.
Als Weiterführung dieses Systems schildert der Antrag ein Kassensystem mit NFC-Funktechnik, bei dem mit Apple Pay bezahlt werden kann. Es würde ebenso über einen Fingerabdruckscanner verfügen, um die Identität des Nutzers zu verifizieren.
Alternativ zu iCloud wird auch eine Synchronisierung von Fingerabdrücken über NFC oder Bluetooth als Option geschildert. Der Antrag weist darauf hin, dass dies natürlich nur möglich ist, wenn die beiden Geräte in unmittelbare Nachbarschaft zueinander gebracht werden können.
Der 18 Monate alte Antrag lässt nicht auf eine bevorstehende Umsetzung schließen. Apples Informationsseite zu Touch ID macht unmissverständlich klar, dass der Konzern die unterbundene Cloud-Speicherung selbst für einen Sicherheitsvorteil hält.
Mitgliedern des Chaos Computer Clubs (CCC) war es erstmals im September 2013 gelungen, Touch ID auszuhebeln. Ein Jahr darauf bilanzierte Lookout Security, mit iPhone 6 und 6 Plus gebe es diesbezüglich keine Fortschritte: „Leider gibt es beim Sensor zwischen beiden Geräten keine messbare Verbesserung. Falsche Fingerabdrücke waren ohne Weiteres in der Lage, beide Geräte zu täuschen.“
Der CCC legte vor zwei Wochen nach und demonstrierte, dass einige Fotos genügen, die mit einer regulären Kamera aus einigen Metern Entfernung gemacht wurden und den fraglichen Finger zeigen. Für seine Demonstration nutzte Jan Krissler von der Technischen Universität Berlin eine Aufnahme von Verteidigungsministerin Ursula von der Leyen, die bei einer Pressekonferenz gemacht worden war, und ergänzte sie mit Informationen von anderen Fotos aus unterschiedlichen Blickwinkeln. Mithilfe der frei erhältlichen Software VeriFinger entstand ein klarer Abdruck, der sich zur Schaffung einer Fingerattrappe der Bundesministerin eignete. Damit wiederum könnten Sicherheitssysteme überlistet oder auch falsche Fingerabdrücke an einem Tatort hinterlassen werden.
[mit Material von Lance Whitney, News.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…