Hacker tricksen Iris-Scanner des Galaxy S8 aus [Update]

Samsung hat die vom Chaos Computer Club (CCC) entdeckte Schwachstelle bei der Iris-Erkennung untersucht und bestätigt den vom CCC beschriebenen Sachverhalt. Für Samsung ist das Szenario allerdings unwahrscheinlich. „Die vom CCC beschriebenen Ergebnisse konnten unter einer Realität unwahrscheinlichen Kombination von Umständen erzielt werden. Voraussetzung ist die Situation, dass zur gleichen Zeit ein hochauflösendes Bild der Iris des Smartphone-Besitzers sowie eine Kontaktlinse und da entsprechende Smartphone vorliegen.“ Samsung konnte die vom CCC beschrieben Methode nachstellen. Allerdings sei es extrem schwierige gewesen, reproduzierbare Ergebnisse zu erzielen.

Samsung stellt außerdem fest, dass man die die Iriserkennungstechnolgie rigorosen Test unterzogen habe. Entsprechend hoch sei die Genauigkeit beim Scan-Vorgang, sodass eine Authentifizierung mittels eines Fotos der menschlichen Iris nicht gelänge.

Ursprünglicher Artikel vom 24.5. Hacker tricksen Iris-Scanner des Galaxy S8 aus

Mitgliedern des Chaos Computer Clubs (CCC) ist es gelungen, den Irisscanner von Samsungs Flaggschiff-Smartphone Galaxy S8 zu überlisten. In einem Video zeigen sie, dass eine Kombination aus einem Foto und einer Kontaktlinse von der biometrischen Sicherheitsfunktion als „Ersatz“ für das Auge des Nutzers akzeptiert wird.

Das Auge des Nutzers fotografieren die Hacker mit einer digitalen Kompaktkamera, die einen Nachmodus besitzt, also wie der Irisscanner des Galaxy S8 ein Infrarotbild aufnimmt. Dieses Bild wird anschließend zugeschnitten und auf einem handelsüblichen Drucker – ironischerweise ein Modell der Marke Samsung – ausgedruckt. Danach muss lediglich eine Kontaktlinse über den Ausdruck der Iris platziert werden, um dem Scanner erfolgreich vorzugaukeln, er habe es mit einem echten Auge zu tun.

In einer Pressemitteilung zieht der CCC ein vernichtendes Fazit: „Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten.“ Das von der Firma Princeton Identity hergestellte Erkennungssystem verspreche „eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine individuellen Besitzer – und zwar nur diese – anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen.“

Unterm Strich sei die Iriserkennung aber nur ausreichend, um ein Telefon vor dem Entsperren durch Unbefugte zu schützen. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon zu bezahlen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück“, empfiehlt Dirk Engling, Sprecher des CCC.

Samsung selbst bewirbt den Irisscanner mit dem Slogan „Sicherheit ist kinderleicht“. Da keine Iris wie die andere sei, „ist es nahezu unmöglich, sie zu kopieren“, heißt es auf der Website des Unternehmens. An anderer Stelle bezeichnet Samsung die Iris zudem als „einzigartiges persönliches Merkmal, das so gut wie fälschungssicher ist“. „Deshalb ist die Iriserkennung eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen“.

Schon Anfang April war bekannt geworden, dass sich die Gesichtserkennung des Galaxy S8 ebenfalls leicht mit einem Foto umgehen lässt. Allerdings weist Samsung auch darauf hin, dass die Gesichtserkennung eine reine Komfortfunktion ist – zum Autorisieren von Zahlungen per Samsung Pay kann sie beispielsweise nicht eingesetzt werden. Die Iriserkennung lässt Samsung hingegen als Autorisierung für Zahlungen zu.

Dass Fingerabdruckscanner ebenfalls weniger Sicherheit als ein PIN-Code oder Passwort bieten, ist schon länger bekannt. Die Implementierungen von Samsung und Apple wurden schon mehrfach von Hackern ausgetrickst. Im April meldeten Forscher zudem, ihnen sei es gelungen, aus sich wiederholenden Merkmalen von Fingerabdrücken einen Master-Fingerabdruck zu entwickeln. In Computersimulationen erreichte er eine Trefferquote von 65 Prozent. In der Praxis ließen sich zumindest noch 40 bis 50 Prozent der getesteten iPhones mit bis zu fünf Versuchen entsperren.

[mit Material von David Meyer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de