Dummy aus Holzleim narrt iPhone
Bereits 2002 hat der deutsche Chaos Computer Club (CCC) erstmals öffentlich gezeigt, mit welch einfachen Mitteln sich Fingerabdruckscanner täuschen lassen. Zehn Jahre später scheint sich die Sicherheit der von Experten kritisch gesehenen biometrischen Technologie nicht verbessert zu haben. Bei Tests des CCC konnte Apples neuestes iPhone 5S auf demselben Weg überlistet werden.
Dieser Artikel ist älter als ein Jahr.
Bei der Vorstellung des neuen iPhone 5S pries Apple noch die Sicherheit des 700 Euro teuren Geräts. Der neue Fingerabdruckscanner im Homebutton sei wesentlich sicherer als bisherige Sensoren, versicherte der US-Konzern. Mit dieser „praktischen und extrem sicheren Technik“ sei das iPhone „seiner Zeit mehr als voraus“. Mit dem Sensor können iPhone-Nutzer nicht nur die Tastensperre des Geräts ohne PIN-Eingabe lösen, sondern auch ihre Einkäufe in Apples hauseigenem iTunes Store, App Store und iBooks Store autorisieren.
Nur drei Tage nach dem Verkaufsstart scheint das Gegenteil bewiesen. Der CCC konnte die von Apple „Touch ID“ genannte biometrische Sicherheitsfunktion mit einfachsten Mitteln aushebeln. Konkret erstellten die deutschen Computerspezialisten einfach einen künstlichen Fingerabdruck aus getrocknetem Kleber. Diese Attrappe konnte dann auf einen beliebigen Finger gelegt das iPhone freischalten.
Video dokumentiert Hack
„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Genauigkeit unseres Kunstfingers ein wenig erhöhen“, so der CCC in einer Aussendung. In einem Video auf YouTube dokumentieren die Hacker, wie sich das iPhone mit dem Fingerabdruck-Dummy freischalten ließ.
Screenshot youtube.com
Die dazu nötige Attrappe wurde laut CCC mit Hilfe von Latexmilch beziehungsweise herkömmlichem Holzleim hergestellt. Dafür wurde der Fingerabdruck in hoher Auflösung abfotografiert und invertiert auf Transparenzfolie gedruckt. Anschließend wurde Latex oder Kleber auf die Folie aufgetragen. Nach dem Trocknen konnte der Fingerabdruck einfach abgezogen und das iPhone damit getäuscht werden. Bereits 2008 führte der Biometriespezialist „Starbug“ des CCC genau diese Methode live im Wiener MuseumsQuartier vor.
CCC: Fingerabdruck zu einfach zu kapern
„Wir hoffen, dass dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt“, sagte Frank Rieger, Sprecher des CCC. Zuvor hatten Sicherheitsspezialisten online eine Prämie für denjenigen ausgelobt, dem es gelingt, Apples Innovation zu knacken. Über 4.000 Dollar (3.000 Euro) und diverse Sachspenden soll derjenige bekommen.
Zugriff auf Fingerabdruckdaten für Behörden möglich?
Neben der Unsicherheit der Touch-ID sorgt das biometrische iPhone-Anmeldeverfahren weiterhin auch für Befürchtungen in Sachen Datenschutz. In Anlehnung an die Enthüllungen des NSA-Aufdeckers Edward Snowden wurde Apples Neueinführung in Internetkommentaren hämisch als praktische Fingerabdrucksammlung für den US-Geheimdienst NSA tituliert. Apple versicherte daraufhin, die Fingerabdruckdaten würden in Form einer Ziffernabfolge verschlüsselt am Smartphone selbst gespeichert. Ein Zugriff von außen sei nicht möglich.
Ob dieses Versprechen hält, ist angesichts der schnellen Aushebelung des Fingerabdrucksensors fraglich. Offenbar sind selbst US-Politiker nicht überzeugt. Der demokratische US-Senator Al Franken verfasste zu diesem Zweck vor wenigen Tagen einen offenen Brief an Apple-Chef Tim Cook, in dem er hinterfragt, ob die Fingerabdruckdaten durch Umwandlung in ein anderes Format nicht doch aus dem iPhone geholt werden könnten.
Auch unklar ist, ob Behörden unter Berufung auf Anti-Terror-Gesetze wie dem umstrittenen „Patriot Act“ die Herausgabe der Daten von Apple erzwingen könnten, um diese etwa mit ihren Datenbanken abzugleichen. Apple hat sich zu den Fragen bisher nicht geäußert. Seit dem Verkaufsstart vor drei Tagen wurden laut Apple neun Millionen Stück der neuen iPhone-Modelle 5S und 5C abgesetzt.
Links:
