MACNOTES

Veröffentlicht am  22.09.13, 21:44 Uhr von  

iPhone 5s: Touch-ID-Fingerabdrucksensor kann umgangen werden

iPhone 5s iPhone 5s: Fingerabdruck einlesen

Die neue Touch-ID-Funktionalität im iPhone 5s kann offenbar umgangen werden. Wie der Chaos Computer Club berichtet, ist es dem Hacker “starbug” gelungen, mit einem Kunstfinger ein gesperrtes iPhone zu entriegeln.

Ganz so einfach wie es in Diskussionsforen vorweg zu lesen war, ist das Knacken des Touch ID dann doch nicht gewesen, aber es ist immerhin machbar. Das erklärt der CCC in einer Pressemitteilung. Dem Hacker “starbug” gelang es, einen Fingerabdruck, der von einer Glasoberfläche abfotografiert wurde, so zu extrahieren, dass der Fingerabdrucksensor des iPhone 5s damit zufrieden war.

Für den Beweis, auf den ein Preisgeld ausgesetzt war, musste der Fingerabdruck mit mindestens 2400 dpi abfotografiert werden. Anschließend mussten die Konturen bereinigt werden. Ein Laserdrucker musste das Resultat mit mindestens 1200 dpi und maximaler Druckstärke auf eine Transparenzfolie bringen. Um dem Sensor glaubhaft zu vermitteln, dass der Kunstfinger an einem lebenden Objekt sitzt, muss das Ergebnis auf Latexmilch oder weißen Holzleim aufgetragen werden. Anschließend muss das Gebilde nur noch durch Anhauchen befeuchtet werden und kann das iPhone entsperren.

Während dieser Hack auf diese Weise durchaus funktioniert, darf getrost die Frage gestellt werden, in welchem Verhältnis Aufwand und Nutzen zueinander stehen. Ohne eine Code-Sperre, die es schon seit den ersten iPhone-Iterationen gab, kann man Touch ID überhaupt nicht nutzen. Als alternativen Weg der Entriegelung steht die Eingabe des Codes immer zur Verfügung – in gängigen Szenarien wäre es sicherlich einfacher, dem Besitzer den Code zu entlocken. Weiterhin ist zu erwarten, dass viele Benutzer aufgrund der Einfachheit von Touch ID überhaupt erst einmal ihr iPhone absichern – was gegenüber einem Gerät ohne Sperre in jedem Fall einen gewissen Sicherheitsgewinn darstellt.

 Und wie ist deine Meinung?  Schreib uns einfach!

 9 Kommentar(e) bisher

  •  Ulli sagte am 22. September 2013:

    Das Unterfangen hätte man auch unkomplizierter schreiben können, da das Verfahren nicht wirklich umständlich. Aber man muss ja das iPhone verteidigen. ;) Es Aufwand stehen dort wirklich in keinem Verhältnis zu den Daten. 10 Minuten Routine sind nun wirklich nicht viel Zeit um an hochsensible Firmendateien zu gelangen.

    Antworten 
    •  Florian sagte am 22. September 2013:

      warum hacken jetzt eigentlich alle auf dem Fingerabdrucksensor rum? der ist sicherer als der vierstellige Code den die meisten (wenn überhaupt) bisher benutzt haben und zudem deutlich komfortabler zu nutzen, Punkt aus

      Antworten 
    •  stk sagte am 22. September 2013:

      Du hast recht. Da ist so ein vierstelliger Code natürlich sicherer.

      Antworten 
      •  MacNobi sagte am 22. September 2013:

        Was ich an der ganzen Thematik nicht verstehe:

        - Wenn ich beim Onlinebanking 3x die falsche Pin einhämmere, stehe ich bei dem Bankberater meines Vertrauens stramm, um die Geschichte wieder in Gang zu setzen

        - Wenn ich bei meiner Fritzbox das Passwort falsch eingebe, verdoppelt sich bei jedem weiteren, falschen Versuch die Zeit, bis ich es wieder versuchen kann. Selbst dann, wenn ich im Browser den Cash lösche. Da verlierste Du als Hacker ab dem 6. Mal die Lust.

        - Auf meinem iPhone/iPad befinden sich ebenfalls Kundendaten. Diese werden bei 3 falschen Versuchen komplett gelöscht (eingestellt per Configurator). Das Passwort ist 6-stellig alpha/num.

        Kann mir mal jemand ernsthaft erklären, warum diesen Abdrucksensor einbaut? Eine obige Zeitschleife wäre ebenso effektiv ohne den NSA-Beigeschmack.

        Antworten 
        •  stk sagte am 23. September 2013:

          Die Antwort lautet Bequemlichkeit. Du hast fünf Versuche für Touch-ID und danach verlangt das iPhone den Code. Dort noch einmal X Versuche und du kannst sämtliche Daten optional löschen lassen. Wenn dir das aufgrund der sensiblen Daten und obigem Video zu heikel ist: Verwende Touch-ID einfach nicht. Die Code-Sperre bleibt als Feature ja erhalten – wie gesagt, sie ist sogar Voraussetzung für die Nutzung von Touch-ID.

          Antworten 
  •  Patrick sagte am 23. September 2013:

    Mal im Ernst: Wie hoch ist die Wahrscheinlichkeit, dass mir jemand eine Knarre an den Kopf hält und meinen Fingerabdruck fordert gegenüber der Frage, ob jemand irgendwoher meine persönlichen Daten klaut und mein Passwort herausfindet?

    Antworten 
    •  MacNobi sagte am 23. September 2013:

      Im Falle des iPhones ist dass eigentlich wurscht. 5x den falschen Finger auf den Sensor und Du bist an der gleichen Stelle, wie ohne Sensor, nämlich bei der Codesperre. Wenn die dann (wegen des sicheren Sensors!?) schlapp eingestellt oder durch Identdiebstahl bekannt ist, sind die (Kunden-) Daten samt VPN-Zugängen und Passworten weg. Punkt.

      Deswegen meine Verständnisfrage oben.

      Antworten 
      •  stk sagte am 23. September 2013:

        Wenn du den Code kennst, kannst du dir die fünf falschen Finger auch sparen, weil du zu jedem Zeitpunkt alternativ auch den Code eingeben kannst. Ich denke da so wie Florian weiter oben, Apple zielt auf diejenigen, die aus Gründen der Bequemlichkeit bislang gar keine Sperre verwendet haben und für diejenigen ist jede Hürde besser als das, was sie bislang verwendet haben. Ohne den Sensor wären diejenigen iPhones nämlich bei Slide-to-unlock und das hindert genau 0 Prozent aller Diebe an die Daten zu kommen.

        Antworten 
  •  Alex sagte am 24. September 2013:

    Es gibt kein wirklich sicheres System, was auch noch komfortable in der Nutzung ist. Diese von Apple angebotene System ist ein Kompromiss um den Sicherheitsfaule entgegen zu kommen.

    Antworten 

Kommentar verfassen

 9  Tweets und Re-Tweets
 0  Likes auf Facebook
     0  Trackbacks/Pingbacks
      Werbung
      © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de