Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8
Archivmeldung vom 23.05.2017
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 23.05.2017 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittBiometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.
Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit sogenannter Iriserkennung. Hersteller des biometrischen Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine individuellen Besitzer – und zwar nur diese – anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen.
Dieses Versprechen hält einem Test nicht stand: Mit einer einfach nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das Vorgehen.
Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen, mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. Samsung plant die Integration der Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen.
Die Technologie der Iriserkennung schickt sich gerade an, in den Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden.
Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und Biometrieforscher starbug zeigen, dass sie leicht überwunden werden können, als er mit einfachen Mitteln den entsprechenden Sensor des iPhones umging. „Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten,“ sagte Dirk Engling weiter.
Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In diesem normalerweise herausgefilterten Frequenzband sind auch die in sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann.
Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor der Linse.
Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann Bescheid.
Quelle: Chaos Computer