Hacker tricksen Iris-Scanner des Galaxy S8 aus [Update]

Samsung bestätigt die vom CCC beschriebene Schwachstelle. Diese sei allerdings "unter einer in der Realität unwahrscheinlichen Kombination von Umständen erzielt worden." Insgesamt arbeite die Iris-Erkennung genau, sodass Manipulationen mithilfe eines einfachen Fotos der Iris nicht gelängen.

Samsung hat die vom Chaos Computer Club (CCC) entdeckte Schwachstelle bei der Iris-Erkennung untersucht und bestätigt den vom CCC beschriebenen Sachverhalt. Für Samsung ist das Szenario allerdings unwahrscheinlich. „Die vom CCC beschriebenen Ergebnisse konnten unter einer Realität unwahrscheinlichen Kombination von Umständen erzielt werden. Voraussetzung ist die Situation, dass zur gleichen Zeit ein hochauflösendes Bild der Iris des Smartphone-Besitzers sowie eine Kontaktlinse und da entsprechende Smartphone vorliegen.“ Samsung konnte die vom CCC beschrieben Methode nachstellen. Allerdings sei es extrem schwierige gewesen, reproduzierbare Ergebnisse zu erzielen.

Samsung stellt außerdem fest, dass man die die Iriserkennungstechnolgie rigorosen Test unterzogen habe. Entsprechend hoch sei die Genauigkeit beim Scan-Vorgang, sodass eine Authentifizierung mittels eines Fotos der menschlichen Iris nicht gelänge.
Samsung: Stellungnahme zum CCC-Test (Screenshot: ZDNet.de)

Ursprünglicher Artikel vom 24.5. Hacker tricksen Iris-Scanner des Galaxy S8 aus

Mitgliedern des Chaos Computer Clubs (CCC) ist es gelungen, den Irisscanner von Samsungs Flaggschiff-Smartphone Galaxy S8 zu überlisten. In einem Video zeigen sie, dass eine Kombination aus einem Foto und einer Kontaktlinse von der biometrischen Sicherheitsfunktion als „Ersatz“ für das Auge des Nutzers akzeptiert wird.

Irisscanner Galaxy S8 (Bild: Samsung)Das Auge des Nutzers fotografieren die Hacker mit einer digitalen Kompaktkamera, die einen Nachmodus besitzt, also wie der Irisscanner des Galaxy S8 ein Infrarotbild aufnimmt. Dieses Bild wird anschließend zugeschnitten und auf einem handelsüblichen Drucker – ironischerweise ein Modell der Marke Samsung – ausgedruckt. Danach muss lediglich eine Kontaktlinse über den Ausdruck der Iris platziert werden, um dem Scanner erfolgreich vorzugaukeln, er habe es mit einem echten Auge zu tun.

In einer Pressemitteilung zieht der CCC ein vernichtendes Fazit: „Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten.“ Das von der Firma Princeton Identity hergestellte Erkennungssystem verspreche „eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine individuellen Besitzer – und zwar nur diese – anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen.“

Unterm Strich sei die Iriserkennung aber nur ausreichend, um ein Telefon vor dem Entsperren durch Unbefugte zu schützen. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon zu bezahlen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück“, empfiehlt Dirk Engling, Sprecher des CCC.

Samsung selbst bewirbt den Irisscanner mit dem Slogan „Sicherheit ist kinderleicht“. Da keine Iris wie die andere sei, „ist es nahezu unmöglich, sie zu kopieren“, heißt es auf der Website des Unternehmens. An anderer Stelle bezeichnet Samsung die Iris zudem als „einzigartiges persönliches Merkmal, das so gut wie fälschungssicher ist“. „Deshalb ist die Iriserkennung eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen“.

Schon Anfang April war bekannt geworden, dass sich die Gesichtserkennung des Galaxy S8 ebenfalls leicht mit einem Foto umgehen lässt. Allerdings weist Samsung auch darauf hin, dass die Gesichtserkennung eine reine Komfortfunktion ist – zum Autorisieren von Zahlungen per Samsung Pay kann sie beispielsweise nicht eingesetzt werden. Die Iriserkennung lässt Samsung hingegen als Autorisierung für Zahlungen zu.

Dass Fingerabdruckscanner ebenfalls weniger Sicherheit als ein PIN-Code oder Passwort bieten, ist schon länger bekannt. Die Implementierungen von Samsung und Apple wurden schon mehrfach von Hackern ausgetrickst. Im April meldeten Forscher zudem, ihnen sei es gelungen, aus sich wiederholenden Merkmalen von Fingerabdrücken einen Master-Fingerabdruck zu entwickeln. In Computersimulationen erreichte er eine Trefferquote von 65 Prozent. In der Praxis ließen sich zumindest noch 40 bis 50 Prozent der getesteten iPhones mit bis zu fünf Versuchen entsperren.

Umfrage

Wo setzen Sie bei der Effizienzsteigerung ihrer Infrastruktur die höchste Priorität

Ergebnisse anzeigen

Loading ... Loading ...

[mit Material von David Meyer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Authentifizierung, Biometrie, Chaos Computer Club, Galaxy, Samsung, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hacker tricksen Iris-Scanner des Galaxy S8 aus [Update]

Kommentar hinzufügen
  • Am 25. Mai 2017 um 2:59 von Antiappler

    Ok. In der Theorie möglich, aber in der Praxis nur unter äußerst schweren Bedingungen umzusetzen.
    Oder gibt es wirklich Leute, die nicht merken würden, wenn deren Iris fotografiert wird?
    Also in Wirklichkeit nur eine Geschichte für den nächsten James Bond.

    • Am 26. Mai 2017 um 9:52 von M@tze

      Sehe ich genauso, gebe aber zu bedenken was für ein Jubelgeschrei/Shitstorm solche Meldungen hier jedes mal auslösen, wenn es um Apple geht. Also bitte dann auch beim nächsten „CCC hat TouchID ausgetrickst“ (mit ähnlich obskuren Mitteln) objektiv bleiben…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *