Deutsche Forscher überlisten Fingerabdruckscanner des Samsung Galaxy S5

Das Gerät lässt sich mit einem einfach zu fälschenden Abdruck entsperren. SRLabs kritisiert zudem die Implementierung des Finderabdruckscanners. Aufgrund einer fehlenden Passwortabfrage beim Neustart des Galaxy S5 halten sie Samsungs System für unsicherer als Apples Touch ID.

Die Berliner Sicherheitsfirma SRLabs hat einen Weg gefunden, den Fingerabdruckscanner von Samsungs Galaxy S5 zu überlisten. In einem Video demonstriert sie, dass sich das neue Android-Flaggschiff der Koreaner auch mit einem gefälschten Fingerabdruck entsperren lässt. Mit einem ähnlichen Trick hatten sie im vergangenen Jahr schon Apples biometrische Sicherheitsfunktion Touch ID ausgehebelt.

Samsung Galaxy S5 (Bild: CNET)

Den Forschern zufolge kann ein falscher Fingerabdruck innerhalb weniger Minuten erstellt werden. In ihrem Video verwenden sie denselben gefälschten Abdruck, der auch schon im vergangenen Oktober bei der Demonstration einer Sicherheitslücke in iOS 7 zum Einsatz gekommen war. Er basiert laut SRLabs auf einem Foto eines Fingerabdrucks vom Display eines Smartphones.

Darüber hinaus kritisieren die Sicherheitsexperten Samsungs Implementierung des Fingerabdruckscanners. Sie sei deutlich unsicherer als bei Apple. Das Touch-ID-System des iPhone-Herstellers verlangt die Eingabe eines Passworts, bevor der Fingerabdrucksensor zum Entsperren genutzt werden kann. Das Kennwort wird zudem nach jedem Neustart des iPhone abgefragt. Samsung hingegen verzichtet auf diesen zusätzlichen Schutz. Selbst nach einem Neustart des Galaxy S5 könne das Gerät mit dem gefälschten Abdruck entsperrt werden, so die Forscher in ihrem Video. Danach sei es sogar möglich, auf Apps wie PayPal zuzugreifen und beispielsweise Zahlungen auszulösen, falls die App des Bezahldiensts für die Authentifizierung per Fingerabdruck konfiguriert sei.

„Der Hacker in diesem Video ist in der Lage, mit PayPals neuer App jede gewünschte Aktion auszuführen, inklusive Einkäufe und Überweisungen vom PayPal-Konto des Opfers“, heißt es im Kommentar zu dem Video. „Er nutzt dem Umstand aus, dass er mehrere Versuche hat, um seinen falschen Fingerabdruck über den Sensor zu führen, um Geld vom Konto des Opfers auf sein Konto zu überweisen.“

Ein Fingerabdruckscanner sei zwar verbraucherfreundlich, es sei aber die Aufgabe des Herstellers, ihn so einzusetzen, dass sich daraus kein Risiko für den Nutzer ergebe, so das Fazit von SRLabs. Zudem verweisen die Forscher auf ein weiteres Video, in dem gezeigt wird, wie ein mit einem iPhone 4S aufgenommenes Foto eines Fingerabdrucks benutzt werden kann, um ein Lenovo-Laptop, ein Fujitsu-Smartphone und ein iPhone 5S zu entsperren.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

21 Kommentare zu Deutsche Forscher überlisten Fingerabdruckscanner des Samsung Galaxy S5

Kommentar hinzufügen
  • Am 16. April 2014 um 9:46 von punisher

    Selbst schuld Samsung. Aus diesem und anderen Gründen gehören biometrische Sicherheitssysteme nicht in elektronische Geräte.

  • Am 16. April 2014 um 11:31 von Punischer

    Und wenn man welche einbaut, sollte man die Zahl der Fehlversuche klein halten – die Zahl sollte zumindest kleiner Zehn sein, damit nicht jeder Finger durchprobiert werden kann. ;-)

    Erst das Hacken zu erleichtern, und dann via PayPal zum shoppen einzuladen, ist schon arg leichtsinnig.

    • Am 16. April 2014 um 12:13 von punisher

      Dir muss langweilig sein.

  • Am 16. April 2014 um 17:16 von Judas Ischias

    Wieso muss man da Forscher sein um zu wissen, dass es auch mit einem „kopierten“ Fingerabdruck geht? Hat es doch schon in alten James Bond-Filmen gegeben?
    Schau an, jetzt hat es Punisher auch erwischt.;) Da musste ich doch erst Text, Name, Text durchlesen und noch genau auf die Antworten schauen, bis es mir aufgefallen ist. Scheinbar hat der „nette Namenlose“ uns ordentlich in’s Herz geschlossen, sonst würde er diese Art von „Spaß“ unterlassen, oder andere Kommentartoren nehmen.
    Ich nehme mal an, dass er unsere Antworten so toll findet und deshalb dieses Unwesen treibt und eine große Langeweile in seinem unerfüllten Leben hat.;(

    • Am 17. April 2014 um 8:09 von Jopramipwa

      Informativer Artikel, warum aber die Verbindung zur Forschung? Forschung wird in Wikipedia als http://de.wikipedia.org/wiki/Forschung beschrieben.
      Ich sehe hier keinen veroeffentlichten Artikel in ganannter Zeitschrift. Es ist keine neue Erkenntnis, dass so ein Verfahren mit einem Foto ausgehebelt werden kann… Das ist eine bekannte Schwachstelle… und bedarf ganz sicher keiner Forschung. Bereits Bekanntes zu erforschen geht im uebrigen laut Definition nicht. Die Verbindung zur Forschung ist in Ihrem Artikel also fuer den Leser Fehlleitend, wenn er dazu mehr wissen oder lesen moechte und nun das Wort Forschung in seiner Suche verwendet. Exakter waere z.B. Softwaretest gewaesen oder Produkttest oder ein Wort das mir jetzt nicht einfaellt.

      • Am 17. April 2014 um 9:57 von punisher

        Alleine schon das der CCC die Fingerabdruckscanner schon lange überlistet hat, zeigt dass es nix neues ist.

  • Am 16. April 2014 um 18:21 von Diesmal ist nur ...

    …das @ Zeichen verschütt gegangen. Sollte @punisher heissen.

    Tatsächlich stimme ich Dir ja zu: wenn man das einbaut, dann sollte man das richtig machen.

  • Am 16. April 2014 um 20:31 von mark

    Kopieren ist ebend auch ein Kunst die beherrscht werden muss. Samsung wie immer einfach nur peinlich.

    • Am 16. April 2014 um 23:31 von punisher

      Ist das Siri deutsch?

      “ Mit einem ähnlichen Trick hatten sie im vergangenen Jahr schon Apples biometrische Sicherheitsfunktion Touch ID ausgehebelt.“
      Das mit dem Passwort ist mit einem update nachgeholt. Dann sind Samsung und Apple beide genau so unsicher wie jedes andere Gerät mit Fingerabdruckscanner.

      • Am 17. April 2014 um 11:50 von Definitiv nicht

        Das eben nicht: während Du beim Samsung unzählige Versuche hast, wird bei Apple nach mehreren Fehlversuchen (5!) und nach einem Neustart der Code abgefragt.

        Zudem ist mit der PayPal Bezahl Funktion bei einem gehackten Samsung das finanzielle Risiko ungleich höher.

        Apples iPhone 5s und Samsungs S5 sind daher explizit NICHT gleich unsicher. Das Samsung lässt sich sowohl leichter überlisten, als auch lässt sich damit ein höherer Schaden anrichten.

        • Am 17. April 2014 um 12:53 von punisher

          Erst lesen, dann denken und dann erst schreiben.
          Ich zitiere mich mal selbst und zeige dir auf was du überlesen hast.

          “ Das mit dem Passwort ist mit einem update nachgeholt. DANN sind Samsung und Apple beide genau so unsicher wie jedes andere Gerät mit Fingerabdruckscanner.“

          Und wenn ich das Smartphone von jemandem knacken will, schau ich sicher vorher welchen Finger er/sie benutzt. Dann reichen auch 5 Versuche aus ;)

          • Am 17. April 2014 um 15:31 von At Punisher

            Logik: selbst dann kannst Du mit dem iPhone keine PayPal Überweisungen tätigen, so das – Logik für Anfänger – das Samsung S5 dennoch unsicherer bleibt. ;-)

            Abgesehen davon, dass Du vermutest, es würde ein Update geben. Hast Du dafür eine Quelle? Oder nur Wunschdenken Deinerseits?

          • Am 18. April 2014 um 8:15 von Na klar

            Und wenn ich den Finger ‚abschnipple‘, reicht auch ein Versuch? ;-)

  • Am 17. April 2014 um 12:18 von Judas Ischias

    Nur weil sich Samsung leichter überlisten lässt, heißt das nicht dass man damit einen höheren Schaden anrichten kann!
    Wenn ich den Appel beim 4. Versuch knacken könnte, kann ich einen gleich hohen Schaden anrichten, wie beim knacken von Samsung nach dem 9. mal!

    • Am 17. April 2014 um 15:27 von PayPal ...

      … ist der Unterschied: hast Du das Samsung geknackt, steht dem Shopping nichts im Wege.

      Da ist das Missbrauchspotential erheblich höher, weil ich nicht nur Apps im Apple Store kaufen kann, sondern locker shoppen kann, oder gleich Geldüberweisungen initiieren kann.

      Jetzt verstanden? Da ist nix zu retten, dann bist Du aufgeschmissen. Und Samsung gewährt Dir freundlicherweise unendlich viele Versuche. ;-)

      Guckst Du hier: http://www.heise.de/newsticker/meldung/Samsung-Galaxy-S5-Fingerabdrucksensor-auch-schon-gehackt-2170192.html

      Letzte zwei Sätze: „Denn mit dem Fingerabdruck kann der Nutzer auch Zahlungen in Apps wie Paypal autorisieren. Schlabs konnte mit seiner Attrappe auch prompt Geld überweisen.“

    • Am 17. April 2014 um 15:38 von Au weia ...

      Logik nach Judas Ischias. ;-)

      Tue Dir einen Gefallen, und kommentiere nichts, wovon Du nix verstehst. Dein Einwand ist schlicht ‚Schönfärberei‘ und unlogisch. Wirklich: Logik Deine Stärke ist nicht. ;-]

      Bei Apple probierst Du fünf Finger durch, und nach fünf Fehlversuchen ist Schluss. du musst den Code eingeben. Du bist also doppelt abgesichert. Wenn es der Finger der anderen Hand war, oder unsauber gescannt wurde – Pech gehabt. Code her.

      Bei Samsung kannst Du die Finger Deiner Frau und Deiner Kinder tausendmal ausprobieren, und wirst dann immer noch nicht ausgesperrt. Wenn (!) Du dann drin bist, kannst Du via PayPal (hast ja dann den Finger.. ;-)) schön shoppen gehen. ;-)

      Wo ist der Schaden dann größer?

  • Am 17. April 2014 um 16:49 von Judas Ischias

    Und warum kommentierst Du so viele Sachen, von denen DU nichts verstehst?;)
    Das wo DU gut drin bist, jeder Kommentar hat einen anderen „Namen“, bis jetzt.;) Aber dazu nutzt Du bestimmt eine iTan. Als Appel-Knecht kannst DU eigentlich auch nicht anders!
    Schon schlimm, wenn man sonst keine Ziele im Leben hat, ausser gehässiges über Samsung, Google und Android zu schreiben. Bei MS hältst Du dich ja doch etwas zurück.

    • Am 17. April 2014 um 20:34 von Hast du...

      …mit iTAN endlich einen neuen Begriff gelernt?
      Schon schlimm, wenn man sonst keine Ziele im Leben hat, ausser gehässiges über Apple zu schreiben.

      • Am 18. April 2014 um 0:35 von Judas Ischias

        Gehört der Begriff etwa nicht zu Apple? Die haben doch bestimmt ein Patent darauf angemeldet.;)

      • Am 18. April 2014 um 8:19 von Der saß ...

        … ;-)

  • Am 26. April 2015 um 19:51 von dakloane

    Die Möglichkeit beim S5 mit Fingerabdruck zu bezahlen ist default-Mäßig deaktiviert und ich würde es auch niemals aktivieren.
    Das Samsung und das Eierkocher-Bude Telefon sind diesbezüglich also gleich save/unsafe.
    In Bezug auf die endlosen Versuchsmöglichkeiten beim S5 ist Anzumerken das es hier tatsächlich Verbesserungsbedarf gibt.
    Wer Firmen- oder Sicherheitsrelevante Daten auf einem Smartphone ohne Verschlüsselung speichert handelt fahrlässig, dementsprechend hab ich da nix aufregendes am Hdy gespeichert mit ausnahme meines Porno-Verlaufes im Browser.
    Mir ist es also mehr oder weniger Wurscht ob mein Hdy jemand unlocken kann oder nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *