Zwei Forscher des Sicherheitsanbieters FireEye haben verschiedene Verfahren entwickelt, um digitalisierte Fingerabdrücke von mit biometrischen Scannern ausgestatteten Android-Smartphones zu stehlen. Eine dieser Methoden, die Tao Wei und Yulong Zhang „Fingerprint Sensor Spying Attack“ nennen, erlaubt es ihnen sogar, „aus der Ferne in großem Umfang Fingerabdrücke“ einzusammeln.
Davon betroffen sind unter anderem das HTC One Max und Samsungs Galaxy S5. Der Angriff erlaubt es einem Hacker, unbemerkt ein Bild eines Fingerabdrucks von betroffenen Geräten zu stehlen, weil die Hersteller den Sensor nicht vollständig absichern.
Bei einigen Geräten seien dafür sogar System-Rechte ausreichend, so die Forscher weiter. Das bedeutet, dass das Risiko eines Angriffs bei gerooteten Android-Geräten größer ist als bei Smartphones, die nicht entsperrt wurden. Nach einem erfolgreichen Angriff erfasst der Sensor eines kompromittierten Geräts sogar weiter im Hintergrund die Fingerabdrücke aller Personen, die den Sensor benutzen.
„Bei diesem Angriff fallen die Fingerabdruckdaten der Opfer direkt in die Hände der Angreifer“, sagte Zhang. „Für den Rest des Lebens des Opfers kann der Angreifer die Fingerabdruckdaten für seine Zwecke verwenden.“ Digitalisierte Fingerabdrücke werden nicht nur zum Entsperren eines mobilen Geräts benutzt, sondern auch für die Autorisierung von mobilen Bezahlvorgängen oder gar zur Identifizierung von Personen.
Die betroffenen Anbieter haben die Forscher vorab informiert. Ihnen zufolge haben sie auch schon Patches für ihre Geräte bereitgestellt. Weitere Details zu ihrer Forschung, die auch Sicherheitslücken von Fingerabdruckscannern in High-End-Notebooks beschreibt, wollen Zhang und Wei auf der Konferenz Black Hat in Las Vegas präsentieren.
Welche Anbieter sicherer sind als andere, wollten die beiden FireEye-Mitarbeiter nicht verraten. Auf Nachfrage von ZDNet.com sagte Zhang lediglich, Apples iPhone sei „recht sicher“, da es die Fingerabdruckdaten des Scanners verschlüssele. „Selbst wenn der Angreifer den Sensor direkt auslesen kann, erhält er ohne den Kryptographieschlüssel nicht das Fingerabdruckbild.“
Die Forscher raten, nur regelmäßig aktualisierte Android-Geräte mit Fingerabdruckscannern zu benutzen. Zudem sollten Anwender nur Apps aus vertrauenswürdigen Quellen installieren – ein Rat, der generell für alle mobilen Geräte gilt.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Samsung Galaxy S6 und S6 Edge im Test
Mit den Galaxy-S6-Smartphones liefert Samsung zwei Android-Geräte, die dank der Sicherheitslösung KNOX besonders gut für den Einsatz in Unternehmen geeignet sind. Dank Gestensteuerung und hervorragender Performance sind sie auch für den Büro-Alltag bestens gewappnet. Auch äußerlich machen die S6-Modelle eine gute Figur.
Neueste Kommentare
7 Kommentare zu Hacker stehlen digitalisierte Fingerabdrücke aus der Ferne von Smartphones
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das haben doch hier schon einige angekündigt,mdass das System auf Android Smartphones einfach Irrsinn ist, weil die Daten ja auf der Software Ebene abgelegt werden? Dass nun die Fingerabdrücke unbemerkt erhoben wurden, liegt einfach daran, dass Android generell Lücken hat, und wer die Konteolle hat, kann eben alles machen. Ein Fingerabdruckscanner ist dann nichts anderes als eine Kamera. Volle Kontrolle bedeutet volle Kontrolle. Das Problem ist, dass Android zu viele Löcher hat, die bei den meisten Geräten nie gestopft werden.
Das ist das Problem mit biometrischen Merkmalen: Sie sind nicht änderbar. Nutzt man diese für sicherheitsrelevante Funktionen und fallen sie einem Angreifer in die Hände, dann sieht es mit dem Schutz schlecht aus. Die Sicherheit ist trügerisch.
Ein Passwort kann ich ändern! Einen Fingerabdruck nicht! Die Daten sind immer wiederverwendbar.
So lange es keine Geräte gibt, wo der Fingerabdruck Zwang ist, wird so etwas von mir niemals freiwillig genutzt.
Und für ein ordentliches Passwort reicht es bei mir noch allemal.
Hast Du das nicht verstanden? Oder bin ich das?
Ich verstehe es so: es genügt, dass das Gerät einen Fingerabdruckscanner besitzt, und sobald der Angreifer das Gerät (z.B. Mit Stagefright, da ist das Samsung S6 noch offen) gekapert hat, holt er sich die Fingerabdrücke, der Anwender kann das nicht verhindern. Er kann die Funktion aktivieren, die Abdrücke einscannen, kopieren, und danach die Funktion wieder deaktivieren, als ob nichts wäre.
Es genügt bereits der eingebaute Scanner um gefährdet zu sein. Abschalten ist keine Lösung.
Und ich verstehe es so: Fingerabdruckscanner vorher deaktiviert, kein Problem, weil KEINE Fingerabdrücke gespeichert.
Und gemeint war eigentlich, solange es noch Geräte ohne Fingerabdruckscanner gibt, würde ich mir nie freiwillig ein Gerät mit Scanner kaufen.
Ja, das sehe ich ähnlich.
Jedoch – was soll jemand mit meinem Fingerabdruck anfangen, wenn ich nirgendwo eine solche Funktion zur Authentifizierung aktiviert habe?