29. Dezember 2014

Michael Kammler

Fingerabdruck und Iris-Scanner: Hacker überwinden moderne Biometriesysteme

Im Rahmen des 31. Jahreskongress (31C3) haben die Mitglieder des Chaos Computer Clubs gezeigt, wie verhältnismäßig einfach biometrische Sicherheitssysteme überlistet werden können. Den Experten gelang es unter anderem den Fingerabdruck der Verteidigungsministerin Ursula von der Leyen zu kopieren. Hierfür wurde lediglich auf Software und Technik zurückgegriffen, die im Handel frei erhältlich ist. Neben der Kopie des Fingerabdrucks, konnte auch gezeigt werden, wie simpel es ist einen Iris-Scanner zu überlisten. Dabei würde bereits ein hochauflösendes Foto von der Kanzlerin beispielsweise genügen um die Iris "nachbauen" zu können.

Fingerabdruck-Scanner

“Iris-Erkennung ist endgültig kaputt”, betont Jan Krissler von der Technischen Universität Berlin. Der Hacker und Sicherheitsexperte führt zudem weiter aus, dass lediglich eine herkömmliche Kamera benötigt wird, mit der man wiederum Fotos von der Zielperson aus einigen Metern Entfernung schießt. Um den Fingerabdruck von der Verteidigungsministerin zu kopieren, fertigte ein Fotograf hochauflösende Bilder von von der Leyens Hand an. Mit Hilfe der frei im Handel erhältlichen und knapp 400 Euro teuren Spezialsoftware "VeriFinger" kann dann ein Modell des Fingerabdrucks erstellt werden. Mit dieser Kopie ist es schließlich möglich Systeme zu umgehen, die per Fingerabdruck gesichert sind oder gezielt Fingerabdrücke an Tatorten zu hinterlassen.

“Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei”, sagt Krissler. “Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.” Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten.

Zur Überraschung der Kongress-Teilnehmer führen die Experten weiter aus, dass der Iris-Scann moderner Sicherheitssysteme noch einfacher umgangen werden kann. So genügt beispielsweise ein hochauflösendes Wahlplakat um die Iris von Frau Merkel und Co kopieren zu können. Die Fotos von den potentiellen Opfern müssen eine Auflösung von mindestens 1200 dpi aufweisen. Mit der einfachen Technologie können sogar Lesegeräte überlistet werden, die zur Grenzsicherung zum Einsatz kommen. Krissler setzt sogar noch einen oben drauf. So kann man mit ganz einfachen Mitteln auch eine auf "Lebenderkennung" setzende Gesichtserkennung täuschen. Hier wird lediglich ein schmaler Bleistift benötigt, der über das Foto geführt wird, welches man wiederum vor das Lesegerät hält. Dabei werden dem Gerät Blinzelbewegungen vorgegaukelt.

Innenministerium sieht keine Gefahren

Jan Krissler nahm sich zuletzt auch die Handvenenerkennung, als weiteres biometrisches Sicherheitssystem vor und hebelte dieses ebenfalls erfolgreich aus. Das Bundesinnenministerium lies sich von den Demonstrationen allerdings nicht weiter beeindrucken. Gegenüber der Zeit Online betonte die Behörde, dass Fingerabdrucksysteme weiterhin sicher seien und auf dem Kongress "Nichts Neues" gezeigt wurde. Dabei setzt man unter anderem auf die Verbesserung der Geräte. Zudem empfehlen Experten ohnehin den Einsatz von mehreren Systemen um eine Überwindung ebenfalls nicht gänzlich ausschließen zu können, es potentiellen Schädigern jedoch deutlich schwerer zu machen. Im letzten Jahr sorgte der CCC mit der Überlistung des iPhone 5s Fingerabdruck-Scanners für Aufsehen. Experten sind der Meinung, dass es noch Jahrzehnte dauern wird, bis Sicherheitssysteme absolut sicher sind.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„Gefahren von Kameras für (biometrische) Authentifizierungsverfahren [31c3] von starbug/Jan Krissler“ direkt öffnen

[Direktlink]

Weitere Artikel

Apple Pay in der ersten Hälfte 2015 in Europa

TouchPal: iOS-Tastatur mit neuen Themes und Schriftarten

27 Gedanken zu „Fingerabdruck und Iris-Scanner: Hacker überwinden moderne Biometriesysteme“

      • Er will afaik damit sagen, dass es sich nicht lohnt ein 400€ Programm zuzüglich einer guten DSLR zu kaufen um dir dein 600€ iPhone zu klauen.
      • Ganz ehrlich wenn Ein Profi Häker (deine) Persönliche Daten haben will dann kommt der auch da rein. Und außerdem selbst wenn die ich (dein) IPhone rein kommen können die mit ( deinem) Fingerabdruck dein iPhone eh nicht löschen. Dafür Brut man nämlich das Passwort
    • ich verstehe die Panik nicht. Sorry aber die TouchID beispielsweise ersetzt einen 4 Zahlencode. Der ist meines Wissens ehr knackbar als dass jemand eine Kopie von meinem Finger herstellt und mein Handy in die Hände bekommt um damit was dummes zu machen. Panik mache. Meine Meinung.
  2. 1) „Niemand hat die Absicht, eine Mauer zu errichten!“, 2) „Mit mir wird es keine Pkw-Maut geben.“ 3) „Gegenüber der Zeit Online betonte die Behörde, dass Fingerabdrucksysteme weiterhin sicher seien und auf dem Kongress “Nichts Neues” gezeigt wurde.“ :))
  3. Also, dass der Touch ID nicht so sicher ist, wie viele glauben war ja bekannt, aber dass man echt anhand eines Fotos die Iris nachbilden kann. Wahnsinn. Ich frage mich echt, wieso Apple sich nicht so ein Experten sucht, um mit dem die Touch ID 2 Generation dann richtig abzusichern.
    • Mein Gott, Touch ID ersetzt den 4 stelligen Code! Das Ding sichert keine Atomwaffen Codes oder ne Zeitmaschine. Jeder Depp, der neben einem sitzt kann den Code mitlesen und dagegen ist TouchID auf jeden Fall sicherer. Dasselbe gilt für die Sicherheit gegenüber Entsperrcodes, die auch jeder ganz einfach mitlesen kann. Um den Fingerabdruck nachzumachen braucht man viel mehr Ausrüstung und technisches Verständnis als der Otto Normal Verbraucher zu Hause hat. Somit ist TouchID eine, wenn auch nicht zu 100%, sichere und sehr bequeme Art und Weise sein SMARTPHONE zu schützen.
      • Endlich mal jemand der es sagt und auch mal den Vergleich zur vierstelligen Code sperre nimmt, da mäckert keiner bei 1,2,3,4 :D
      • Der CCC hat schon 2008 einen Finger von Schäuble „kopiert“. Einen Laserdrucker, Holzleim und Folien hat man sicher auch daheim, das kopieren eines Fingerabdrucks wäre schon möglich. Die Frage ist die, die viele hier schon stellen: Welche Daten sind interessant, die biometrisch geschützt sind? Ist es nicht sinnvoller (und so macht man das normal auch), mehrere Systeme zu kombinieren, um ein Überlisten zu erschweren? Biometrische Systeme sind für den Endkunden klar bequem, da der Finger oder das Auge immer mit dabei sind. Allerdings: Ist das System einmal geknackt kann man diese Merkmale nie mehr einsetzen. Anders bei einem sicheren Passwort oder einer langen PIN, die kann man ändern.
      • Die ganzen „Theorien“, die in dem Video gezeigt werden werden im Alltag so gut wie nie (eigentlich nie) stattfinden. Das ganze ist eigentlich nur ein Extrembeispiel und soll zeigen, was theoretisch möglich sein kann. Von den Medien wird das ganze halt hochgeschaukelt wie sonst was aber das kennt man ja
    • Stimmt schon, aber die biometrischen Daten der Verteidigungsministerin oder der Bundeskanzlerin nutzen die Schurken ja auch nicht, um eine Leberwurst zu klauen. ;)
  7. Der Scanner soll ja auch nur das klauen des iPhones oder iPad für einen 0/08/15 Taschendieb unattraktiv machen! Wem es um die Sicherheit seiner Daten geht, sollte sie nicht in die Cloud senden, oder was noch sicherer ist, um Apple, Google und MS einen großen Bogen machen. Wer weiß, mit welchem Update wir wieder eine gewollte Schwachstelle in unser OS bekommen haben, das der NSA oder dem BND das Auslesen unserer Daten erleichtert. Leider gibt es noch keine richtige Alternative, weil noch alle OS in amerikanischer Hand sind…..wem wundert es.
  9. Hallo, eigentlich kann ich es nicht mehr hören. Diese fortlaufende Panikmache! Der Fingerabdruckscanner ist jedenfalls um einiges sicherer und aufwändiger zu knacken, als ein vierstelliger Zahlencode. Die Beschreibungen sprechen doch für sich. Zu Überwindung des Zahlencode muss ich mir kein Programm keine Kamera und keinen Scanner kaufen. Ich muss auch nicht mit Folie und Leim etc. hantieren. Ich schaue meinem Nebenmann im Zug oder in der Straßenbahn oder in Lokal einfach über die Schulter. Guten Rutsch
    • Wenn man Voice Over verwenndet, kann man den Bildschirmvorhang aktivieren. Man kann als nächstes auch die Sprachausgabe deaktivieren und schon hat man eine relativ sichere Methode, das iPhone mittels Zahlencode zu entsperren.
  10. Wann begreift ihr endlich, dass sich nicht die ganze Welt nur um Apple dreht? Der Aufhänger waren biometrische Sicherungssysteme im Allgemeinen, nicht Touch ID im Speziellen!
    • Vor allem weil gesagt wurde, dass Apple schon einen sehr guten hochauflösenden Sensor hat. Türsensoren sind noch um einiges schlechter und anfälliger…. Es ist schon traurig, das in 8 Jahren keine Verbesserung statt gefunden hat ^^
  11. es ist nicht wichtig ob man WICHTIG genug ist. Entwickelt sich ein Staat wegen paranoider Bürger zum Polizeistaat (wie es scheinbar in den Saaten gerade geschieht) , so kann man schnell mittenhinein geraten wenn scheinbar sichere System zum Gottvater der Justiz werden. Wie willst du dich gegen eine ungebildete Masse erwehren, wenn diese den iPhone-Fingerscanner als Beweis akzeptiert das NUR DU am Tatort gewesen sein kannst. Denn wer ein Gesetz bricht, hat kein Problem damit deine Körpermerkmale zur Verschleierung seiner tat zu nutzen – er kennt dich ja nichteinmal. Danke technikgläubige Masse …

Die Kommentare sind geschlossen.