Aus der Reihe "Nutzloses Wissen", Folge 7816 :: Iris-Erkennung

by Volker Weber

'Hacker' vom CCC haben herausgefunden, dass man mit einigem Aufwand 'ganz einfach' den Iris-Scanner eines Samsung S8 überlisten kann. So wie 'starbug', bürgerlich Jan Krissler, schon vor ein paar Jahren gezeigt hat, dass der Fingerabdruck-Scanner des iPhone auszutricksen ist. Handlungsempfehlung:

"Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen,der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück," so Dirk Engling, Sprecher des CCC

Ich werde dann demnächst mal vorführen, wie man mit einem iPhone und 120 fps Slow Motion eine bewährte PIN-Eingabe ausspäht. Alternativ kann man den Smartphone-Nutzer auch an der Gurgel packen.

Comments

Ja, die Fraktion wird nie aussterben, die das Dagegen-Schild hochhält. Fakt ist, dass das Sicherheirsniveau von Daten auf Smartphones durch Fingerabdruck und Co. gestiegen ist. Und zwar durch die Bank, weil die Systeme inzwischen so gut sind, dass es sogar der Faulste nutzt.

Klar gibt es Anwendungsbereiche oder Nutzer (Herr Schäuble z. B.) bei denen man sagen muss, dass die Sicherheitsanforderungen so hoch sind, dass man auf andere, zuverlässigere Systeme zurückgreifen muss.

Aber für die breite Masse sind diese Systeme für den Einzelnen ein Segen. Vor, sagen wir mal 5 Jahren hätte man bei einer Umfrage auf einer x-beliebigen Fußgängerzone vermutlich 80% aller Handys frei zugänglich vorgefunden. Heute dürfte sich das Verhältnis gedreht haben.

Erfreulich, wenn man bedenkt, welche zentrale Rolle das Handy im Leben vieler einnimmt und was deswegen darauf gespeichert sein könnte.

Johannes Matzke, 2017-05-23 12:54

Also die 80% glaube ich nicht. PINs waren zwar unüblich bei den alten Telefonknochen, aber vor 5 Jahren hatten doch die meisten Smartphone zumindest diese Wischgesten zum entsperren (die man 'hackt' indem man zuguckt oder die Fettschlieren auf dem Glas nachfährt - all zu komplex machen es die Leute meist nicht).

Wie hies denn die Technik, bei der eine Vielzahl an dreistelligen Zaheln angezeigt wird, und dann muss der Nutzer 'seine' Entsperrungsnummer an eine bestimmte Stelle schieben? Die klang gegen fiese Abgucker wie Volker schonmal sicherer als PIN und Wischgesten, jedoch gleichzeitig trivial genug für den Nutzer.

Pascal Zimmer, 2017-05-23 13:07

Wie ist das denn bei Samsung implementiert? Meine Touch-ID-Devices wollen nach jedem Neustart und von Zeit zu Zeit (ich habe da kein Muster erkannt) mein Kennwort wissen. Ist das bei Samsungs Iris-Scan auch so? Bei Microsofts Hello reicht die Kamera oder der Fingerabdrucksensor bis zum Sankt-Nimmerleins-Tag. Falls sie funktionieren.

Das ist eine ernst gemeinte Frage.

Sven Richert, 2017-05-23 13:21

Geht es nicht eher darum wie eine solche Technologie beworben wird? Ich zitiere mal von der Samsung Webseite "Die Muster in Ihrer Iris sind ein einzigartiges persönliches Merkmal, das so gut wie fälschungssicher ist. Deshalb ist die Iriserkennung eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen.". Bei Iris-Scanns nehme ich an das viele Menschen diese nur aus Filmen kennen. Da kommen die Bösewichte nur in den Atombunker indem sie der toten Wache die Augen herausreißen. Imho suggeriert Iris-Scann also eine Sicherheit die nur mit dem echten Auge zu knacken ist.

Jede Sicherungstechnologie bringt ihre eigenen Angriffsvektoren mit sich, was von den Herstellern eher verschwiegen als kommuniziert wird. Die Ausbildung/Information der Nutzer was "so gut wie fälschungssicher" im Klartext bedeutet liegt in wessen Verantwortung? Das gilt natürlich genau so für gefilmte PINs und geklaute Fingerabdrücke.

Zur Handlungsempfehlung: es ist immer noch etwas leichter die PIN immer verdeckt einzugeben als immer zu verhindern das die eigenen Augen fotografiert werden.

Moritz Dahlmann, 2017-05-23 13:23

@Pascal: BlackBerry Picture Password: https://youtu.be/ucpQ_0iHrWg?t=2m42s . Keine biometrischen Merkmale verwendet, keine PIN-Eingabe in der Öffentlichkeit, minimaler Aufwand für den Benutzer, und unabguckbar, weil stets ein anderes Ziffernmustern angezeigt wird.

Haiko Hebig, 2017-05-23 13:52

Was ist das Problem? Einfach den Iris Scan verdeckt eingeben! 😇 SCNR

Hubert Stettner, 2017-05-23 14:03

Sven, Biometrie ist nachgelagert. Du musst erst mit PIN, Password oder Pattern schützen, dann kannst Du die biometrischen Verfahren aufsatteln.

Volker Weber, 2017-05-23 14:35

Was ich vergessen habe:

Wichtig ist es natürlich zu beachten, dass ein biometrische Kennzeichen eben wegen seiner Einzigartigkeit ein besonderes Risiko in sich trägt:

Ist es einmal kompromittiert, kann man es nicht mehr nutzen, da dies auf Ewigkeit so bleibt. Man hat nur zwei Augen und 10 Finger. Danach ist Schluss. ;)

Johannes Matzke, 2017-05-23 14:36

Ich habe auch noch 10 Zehen. ;)

Enrico Lippmann, 2017-05-23 14:41

@vowe: Hast Du den Link zur Quelle absichtlich vergessen?

Enrico Lippmann, 2017-05-23 14:45

Gut erkannt.

Volker Weber, 2017-05-23 14:48

Ich war mir sicher wegen des Inhalts des Postings. Es hätte auch sein können, dass Du sie gar nicht gelesen hast. ;)

Enrico Lippmann, 2017-05-23 14:56

Sollte heißen "nicht sicher".

Enrico Lippmann, 2017-05-23 14:57

Breaking News: Schlosser öffnet Haustür. Türen völlig sinnlos!

Max Nierbauer, 2017-05-23 16:16

Das weiß ich, das war auch nicht die Frage. Wenn ich auf mein Surface einmal die PIN eingerichtet habe und danach die Kamera oder den Fingerabdruckscanner "angelernt" habe, dann brauche ich nie wieder die PIN oder das Kennwort eingeben. Bei meinen Apple-Geräten mit Touch-ID muss ich das nach jedem Neustart und von Zeit zu Zeit (was ich zum Abfrageintervall gelesen habe, spiegelt nicht meine Erfahrung wieder).

Wie ist es bei Samsungs Iriserkennung?

Sven Richert, 2017-05-23 16:31

PIN Eingabe geht auch ohne 120fps auszuspähen. WindTalker. U.a. hier nachzulesen https://www.bleepingcomputer.com/news/security/smartphone-wifi-signals-can-leak-your-keystrokes-passwords-and-pins/

Federico Hernandez, 2017-05-23 20:07

PIN, Wischgesten, Biometrische Daten & Co. sind kein "Network Secret". Um die auszunutzen muss man im Besitz des Gerätes sein. Das heiß ein "Angriff" würde das gezielte entwenden des Gerätes beinhalten. Wenn es erst mal soweit ist hat man ganz andere Probleme.

Max Nierbauer, 2017-05-23 22:15

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Paul Knecht on vowe.net outage :: This was a big one at 20:44
Hubert Stettner on Samsung finally starts addressing their Clippy-problem at 08:40
Anton Seissl on Can you see where this is going? at 07:47
Volker Weber on Second monthly update for Moto Z2 Play at 23:21
Heiko Wolf on Second monthly update for Moto Z2 Play at 22:52
Hubert Stettner on Neu auf Heise Online: init - der Wochenausblick at 19:15
Bernd Hofmann on Neu auf Heise Online: init - der Wochenausblick at 18:39
Ragnar Schierholz on Neu auf Heise Online: init - der Wochenausblick at 15:38
Volker Weber on Neu auf Heise Online: init - der Wochenausblick at 14:59
Ragnar Schierholz on Neu auf Heise Online: init - der Wochenausblick at 14:53
Craig Wiseman on Can you see where this is going? at 14:37
Armin Grewe on Neu auf Heise Online: init - der Wochenausblick at 14:14
Jean-Marc Autexier on Can you see where this is going? at 13:32
Helmut Weiss on vowe.net outage :: This was a big one at 12:59
Jörg Hermann on Neu auf Heise Online: init - der Wochenausblick at 12:29
Karl Heindel on Neu auf Heise Online: init - der Wochenausblick at 11:09
Kai Nehm on Can you see where this is going? at 10:22
Hubert Stettner on And what about the iPhone 8 Plus? at 09:48
Fabian Hüster on And what about the iPhone 8 Plus? at 09:10
Axel Koerv on Can you see where this is going? at 20:56
Darren Duke on Can you see where this is going? at 16:55
Harald Gaerttner on Can you see where this is going? at 15:00
Kai Schmalenbach on Can you see where this is going? at 14:35
Jorge Reis Pires on Can you see where this is going? at 13:08
Mathias Ziolo on Can you see where this is going? at 11:48

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Amazon Wish List
Frequently Asked Questions

rss feed  twitter

Local time is 05:47

visitors.gif