Zutrittskontrolle

CCC hackt Iriserkennung des Samsung Galaxy S8

CCC hackt Iriserkennung des Samsung Galaxy S8

Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.

Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit sogenannter Iriserkennung. Hersteller des biometrischen Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine individuellen Besitzer – und zwar nur diese – anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen.

 

Dieses Versprechen hält einem Test nicht stand: Mit einer einfach nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das Vorgehen. [0]

 

Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen, mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. Samsung plant die Integration der Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen.

 

Die Technologie der Iriserkennung schickt sich gerade an, in den Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden.

 

Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und Biometrieforscher starbug zeigen, dass sie leicht überwunden werden können, als er mit einfachen Mitteln den entsprechenden Sensor des iPhones umging. [1] „Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten,“ sagte Dirk Engling weiter.

 

Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In diesem normalerweise herausgefilterten Frequenzband sind auch die in sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann. [2]

<< Erste < Vorherige 1 2 Nächste > Letzte >>