Fingerabdruckscanner vs. Sicherheit

Fingerabdrucksensoren in Smartphones

Seit gut zwei Jahren werden Fingerabdruckscanner in Smartphones verwendet. Das Entsperren des Handys ist damit leichter und laut Aussagen der Hersteller sicherer geworden. Wir haben uns mit dem Verfahren auseinandergesetzt und erläutern die Sicherheit dieses Systems.

Fingerabdrucksensoren etablieren sich derzeit als Standard in jedem High-End-Smartphone. Beim Einspeichern eines Fingerabdrucks wird in fast allen biometrischen Sicherheitssystemen eine sogenannte Prüfsumme, die nicht mehr entschlüsselbar ist, generiert und im Speicher des Smartphones abgelegt. Beim nächsten Benutzen des Smartphones wird von dem Sensor erneut eine Prüfsumme generiert und diese mit der zuvor gespeicherten verglichen. Damit lässt sich das Handy bequemer und schneller entsperren. Ein kurzes „Auflegen“ oder „Streichen“ des Fingers reicht dann aus, um den Fingerabdruck zu erkennen und die Tastensperre aufzuheben.

Die Apple Touch ID

Bei Apple-Geräten wird der Finger zum Speichern des Fingerabdrucks wiederholt auf den Sensor gelegt bis auch die Ränder erfasst wurden. Dabei wird die oben genannte Prüfsumme generiert und im sicheren Bereich des Prozessors gespeichert. Diese bleibt bis auf weiteres auf dem Gerät und wird nicht in die iCloud übertragen. Da der Fingerabdruck nur in Form einer errechneten Prüfsumme gespeichert wird, ist es Apple selbst oder anderen Institutionen nicht möglich, den Fingerabdruck zu entschlüsseln. Ebenfalls lassen sich mehrere Finger von beiden Händen zum Entsperren des Geräts speichern. Mit der sogenannten Touch ID kann der Nutzer auch Einkäufe über das Gerät verifizieren. Kürzlich hat Apple die Touch ID für App-Entwickler freigegeben. Diese können auf die Funktionalität der Touch ID zugreifen und dadurch die Sicherheit der App steigern. Nur die eingespeicherten Finger in der Touch ID können für den Zugang in die App verwendet werden, der Entwickler hat also keinen Zugriff auf den Sensor selbst. Sobald die Entwickler mitziehen, können App-Nutzer auf ein manuelles Passwort innerhalb der App verzichten.

Der Fingerabdruckscanner bei Samsung-Geräten

Der Hersteller Samsung setzt beim neuesten Samsung Galaxy S6 und S6 Edge ebenfalls auf „Legen“ statt „Streichen“ des Fingers. Beim Vorgänger, dem Samsung Galaxy S5, wurde ein wesentlich günstigerer Zeilenscanner verbaut, der noch mit „Streichen“ über den Sensor arbeitete. Das Einspeichern der Fingerabdrücke und Anwenden des Sensors funktioniert nach demselben Prinzip wie bei Apple. Bisher wurde nicht bekanntgegeben, wo das Samsung Smartphone die Prüfsumme speichert. Es ist also nicht sichergestellt, ob bei einem Backup über das Google-Konto oder eine PlayStore App die Prüfsumme (an Dritte) übertragen wird. Der Zugang zur Funktionalität des Fingerabdruckscanner wurde für App-Entwickler von Anfang an gewährt, derzeit gibt es daher mehrere Anwendungen im Android PlayStore, die bereits das Fingerprint-System integriert haben. Per Fingerabdruck kann zum Beispiel der Einkauf via PayPal verifiziert werden.

Sicher ist sicher – oder nicht?

Abgesehen von Institutionen wie der NSA, die sicher schon eine Möglichkeit gefunden haben, die Sicherheitssysteme zu umgehen, zeigt auch der Chaos Computer Club, wie mit wenig Aufwand das Fingerabdruck-System von Apple überlistet wurde. Dazu haben sie einen Fettfinger-Abdruck auf dem Display hochwertig eingescannt und mit einigen gängigen Verfahren den Abdruck auf eine Graphit-Leim-Mischung kopiert. Damit ließ sich das iPhone 5s beim dritten Versuch entsperren. Am Ende dieses Artikels findet ihr das Video welches den Vorgang detailliert erklärt.

Fazit

Sowohl bei Apples Touch ID, als auch zumindest beim neuen Samsung S6 funktionieren die Sensoren tadellos und schnell. Das vormalige „Streichen“ zum Entsperren bei Samsung Geräten funktionierte zwar nicht perfekt, hatte aber einen zusätzlichen Sicherheitsaspekt. Man hat automatisch den Fingerabdruck verwischt. Dennoch braucht ihr euch bei beiden Herstellern keine Sorgen machen, falls ihr das Smartphone verlieren solltet. Euer Fingerabdruck ist verschlüsselt. Allerdings gibt es keinen Schutz vor den hinterlassenen Fettfingern, mit denen ein Fingerabdruck wie im Beispiel genannt, nachgeahmt werden kann. Ein Vorteil ist, dass im öffentlichen Raum, durch das Entsperren per Fingerabdruck, das Passwort nicht mehr durch neugierige Blicke ausgespäht werden kann.

P.S.: Für alle, die große Sorgen um Ihre biometrischen Daten haben

Möchte man den Geräten seinen Fingerabdruck nicht anvertrauen, da man davon ausgeht, dass die Fingerabdrücke trotzdem eins zu eins gespeichert werden könnten, gibt es einen kleinen Tipp: Es besteht die Möglichkeit, die Touch ID mit einem, auf die Größe des Sensors zugeschnittenen Stickers, zu überkleben. Dabei sollte man nicht vergessen, dass es sogar Verfahren gibt, aus Bildern den abgelichteten Fingerabdruck nachzubilden.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.