Forscher stellen Sicherheit von Fingerabdruckscannern in Smartphones in Frage

Forscher der New York University und der Michigan State University haben ein Verfahren entwickelt, mit dem sich die in vielen aktuellen Smartphones und Tablets integrierten Fingerabdruckscanner austricksen lassen sollen. Wie die New York Times berichtet, wollen sie künstlich entwickelte „Master-Abdrücke“ benutzen, um die heute gebräuchlichen Sensoren zu überlisten. Allerdings wurde das Verfahren bisher noch nicht mit echten Smartphones getestet.

Die Master-Abdrücke entwickelten die Forscher mithilfe von Computersimulationen. Dafür benutzten sie dem Bericht zufolge verschiedene Merkmale, die sich in menschlichen Fingerabdrücken finden. In den Computersimulationen entsprachen die Master-Abdrücke in 65 Prozent aller Fälle den Teilabdrücken, die zur Entsperrung von mobilen Geräten benutzt werden.

Nasir Memon, Professor für Computerwissenschaften an der New York University, geht davon aus, dass seine Forschung zeigt, dass iPhones und Android-Smartphones leicht geknackt werden können. Ein mit Master-Abdrücken ausgestatteter Handschuh sei wahrscheinlich in der Lage, innerhalb von fünf Versuchen 40 bis 50 Prozent der iPhones zu entsperren, bevor das Gerät einen Zahlencode anfordere. „Das ist so, als hätte man 30 Passwörter und der Angreifer müsste nur eines erraten“, zitiert die New York Times den Wissenschaftler.

„Es ist mit Sicherheit nicht so beunruhigend, wie es dargestellt wird, aber es ist schon wirklich sehr schlimm“, kommentierte Andy Adler, der sich als Professor an der kanadischen Carleton University mit biometrischen Sicherheitssystemen beschäftigt. „Wenn ich es auf ein Telefon abgesehen habe und Apple Pay benutzen möchte, um Dinge zu bezahlen, und wenn ich eines von zehn Telefon entsperren kann, dann stehen meine Chancen nicht schlecht.“

Die für die Fingerabdruckscanner von Smartphones benötigten Abdrücke lassen sich leichter fälschen als echte Fingerabdrücke, weil die Sensoren nur Teile des Abdrucks lesen. Zudem werden mehrere verschiedene Aufnahmen angefertigt, um die Genauigkeit der Erkennung zu verbessern. Hinterlegt ein Nutzer darüber hinaus die Abdrücke mehrerer Finger in seinem Gerät, steigt die Wahrscheinlichkeit, dass ein Master-Abdruck einem Finger des Gerätebesitzers entspricht.

Apple erklärte dem Bericht zufolge, dass die Wahrscheinlichkeit, dem Fingerabdruck-System des iPhones einen falschen Abdruck erfolgreich unterzuschieben, bei 1 zu 50.000 liege. Apple habe bei der Entwicklung von Touch ID verschiedene Angriffsmethoden getestet und zudem andere Sicherheitsfunktionen implementiert, um Fehler bei der Erkennung auszuschließen.

Stephanie Schuckers, Direktorin des Center for Identification Technology Research an der Clarkson University, glaubt nicht, dass sich die Ergebnisse der Forscher auf Smartphones übertragen lassen. „Wenn man die Auswirkungen auf ein Mobiltelefon erfahren möchte, müsste man es mit einem Mobiltelefon testen.“ Zudem nutzten die Hersteller Anti-Spoofing-Techniken, um echte Finger zu erkennen, beispielsweise über die Schweißabsonderung der Haut oder Muster in tieferen Hautschichten.

Memon ergänzte, dass er trotz seiner Forschung weiterhin de Fingerabdruckscanner seines iPhone nutze. „Ich mache mir keine Sorgen. Ich glaube es ist immer noch eine sehr bequeme Möglichkeit, ein Telefon zu entsperren. Ich wünschte mir nur, Apple zwinge mich nach einer Stunde Leerlauf, die PIN einzugeben.“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.