iPhone Fingerabdruckscanner : "Es ging Apple um Bequemlichkeit, nicht um Sicherheit"

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.
Fingerabdruckscanner des iPhone 5S © GLENN CHAPMAN/AFP/Getty Images

ZEIT ONLINE: Du hast den Fingerabdruckscanner des iPhone 5S gehackt, warum?

Jan Krissler: Ich beschäftige mich seit mehr als zehn Jahren mit der Sicherheit von biometrischen Systemen, insbesondere mit deren Überwindung. Ab und zu, wenn ein neues Produkt auf den Markt kommt, guck ich mir das an, schaue, ob die alten Techniken zur Überwindung noch funktionieren, oder ob es neue Herausforderungen gibt. Beim TouchID Sensor ging ich von einer Herausforderung aus, wurde aber leider enttäuscht.

ZEIT ONLINE: Eignen sich Fingerabdrücke überhaupt, um ein Telefon, eine Tür oder andere Dinge zu sichern?

Krissler: Wie bei allen biometrischen Systemen muss man sich die Frage stellen, welche Daten oder Dinge man damit schützen will. Wenn deren Wert den Aufwand übersteigt, ein System zu knacken, ist die einfach zu überwindende Biometrie vielleicht nicht die beste Wahl.

ZEIT ONLINE: Das heißt, Biometrie ist einfacher zu überwinden als beispielsweise ein Passwort?

Krissler: Das hängt vom Passwort und vom Umgang des Benutzers damit ab, und natürlich auch vom biometrischen System. Meine Passworte halte ich zumindest für sicherer als meinen Fingerabdruck. Das Problem ist, dass man Fingerabdrücke überall hinterlässt, dass Gesichter unbemerkt fotografiert werden können. Mein Passwort ist in meinem Kopf, und wenn ich bei der Eingabe vorsichtig bin, bleibe ich auch der einzige, der es kennt.

ZEIT ONLINE: Welche biometrischen Daten wären geeignet, um eine Zugangskontrolle einzurichten?

Jan Krissler

Jan Krissler, auch bekannt unter dem Pseudonym Starbug, ist Mitglied des Chaos Computer Club und beschäftigt sich seit vielen Jahren mit biometrischen Systemen und wie man sie überwindet. Im September 2013 hackte er den Fingerabdruckscanner des iPhone 5S und erhielt dafür einen von Hackern aus aller Welt gestifteten Preis. Das Preisgeld spendete er dem Makerspace Raumfahrtlabor in Berlin.

Krissler: Es gibt Merkmale, die besser und Merkmale, die schlechter geeignet sind. Zu den besseren gehören solche, die man nicht überall hinterlässt, beziehungsweise die nicht einfach und unbemerkt abgenommen werden können. Also Merkmale, die man tatsächlich nur an dem passenden Sensor auslesen kann. Das Venenmuster ist dafür ein gutes Beispiel. Ich hatte auch angenommen, dass Apple so etwas einsetzt. Immerhin wurde bei der Vorstellung des iPhones erklärt, der Scanner habe eine sub-epidermale Fingererkennung, also eine, die nicht allein auf Fingerlinien an der Oberfläche setzt. Ehrlich gesagt, war ich schockiert, dass es so einfach war, ihn zu überwinden.

Aber auch bei anderen Verfahren wie Venenmustern muss klar sein: Kommt jemand an ein solches Merkmal, wird er eine Möglichkeit finden, es nachzubilden und so das System zu überwinden.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

14 Kommentare Seite 1 von 2 Kommentieren

Hashes

"Für den täglichen gebrauch ist damit doch alles in Ordnung, ausser das man dafür seinen Fingerabdruck digital gespeichert hat."

Idealerweise nicht mal das, sondern den Hash des erkannten Musters (wenn die Entwicklungsabteilung nicht völlig gepennt hat, oder absichtlich nicht hashes verwendet - wenn das dann aber rauskommt, gnade Gott Apple).

Also wenn es sinnvoll durchgeführt wurde, ist es bequem und für den Hausgebrauch sicher genug.

Kollisionen

*Ironie on* Nein, Moment mal. Apple weiß sehr wohl um die die algorithmische Technik des Hashens, aber die Experten dort sind viel weiter. Stichwort: Hashingkollision. Mit verschwindend geringer Wahrscheinlichkeit könnten - sofern nämlich die Größe des Eingabeuniversums größer ist als der Wertebereich der Hashfunktion - zwei Fingerabdrücke auf den gleichen Hash-Funktionswert abgebildet werden. Jeder Informatiker wäre jetzt darauf reingefallen. Nicht aber die Jungs und Mädels bei Apple. Die speichern lieber aus Sicherheitsgründen den Rohdatensatz. *Ironie off*

Realistisch betrachtet wird die Horde allerdings dieses neue Feature als die beste Funktion seit geschnitten Brot anpreisen und der Profi auf diese Authentifizierungsmethode gänzlich verzichten. Jedem das Seine halt.

Risiko Fingerabdruck oder Risiko kriminelle Energie?

Bei der ganzen Diskussion wird vergessen, dass die Kopie eines Fingerabdrucks zu viel fataleren Situationen führen kann, als den Zugang auf ein Smartphone zu gewähren. Immerhin nutzen Ermittlungsbehörden genau jenes biometrische Merkmal um Straftäter zu indentifizieren. Bleibt zu hoffen, dass Kriminelle nicht auf die Idee kommen, fremde Abdrücke zu hinterlassen, um von der eigenen Strafverfolgung abzulenken.
Die Diskussion um Touch ID ist insofern absurd. Es geht hier um Smartphones, dessen Datensicherheit per se aufgrund der NSA Affaire in Frage steht. Touch ID ist eine Hürde, genau wie ein Pin Code oder jeder beliebige Sicherheitsmechanismus.
Den Hack Begriff finde ich im Kontext mehr als unpassend und ähnlich treffend wie die Befürchtungen, dass zunehmend Gliedmaßen abgeschnitten werden. Mal sehen ob der "Hacker" seine Passwörter im Kopf behält, wenn jemand ein simples Einwegfeuerzeug als Hack unter die Fußsohlen hält!

Fuzzy Hashes

Leider geht auch die Diskussion zu den Hashwerten an der tatsächlichen Technologie vorbei. Hashes werden bei Passwörter eingesetzt. Passwörter müssen exakt gleich eingegeben werden, daher kann man sie auch über gleiche Hashwerte (+X) vergleichen, und das ist dann sicherer.
Bei Fingerabdrücken vergleicht man aber viele individuelle Charakteristiken (die Minutien - also relative Positionen und Winkel bestimmter Stellen der Papillarlinien eines Fingers) und muss dabei auch leichte Abweichungen der Eingabedaten tolerieren können.
Anstatt "absoluter Passwortgleichheit" wird hier also "relativ viele Minutien sind relativ ähnlich zu hinterlegten Minutien" als Erfolgskriterium gewertet.
Traditionelle Hashfunktionen lassen sich nicht so einfach benutzen, um die Minutien-Referenzdaten sicher zu speichern - weil sie den Relativitätsfaktor nicht berücksichtigen. Es gibt Verfahren, welche versuchen, eine vergleichbare SICHERHEITSFUNKTIONALITÄT auch für Biometrie verfügbar zu machen. Apple setzt aber (eher simpel) auf eine verschlüsselte Speicherung in einem geschützten Bereich des iPhone-Prozessors.
Wie so oft führen falsch interpretierte Halbwahrheiten zu ausschweifenden Diskussionen..

.....

>ist es bequem und für den Hausgebrauch sicher genug.

Selbst für den Hausgebrauch ist es nicht sicher genug.

Szenario:
Es reicht, das Handy einfach irgendwo liegen zu lassen. Ein Yps-Leser findet es. Auf Smartphones finden sich sehr viele Fingerabdrücke, mit etwas Pech auch der relevante Finger in ausreichend guter Qualität. Der Yps-Leser verwendet die Methode aus dem Video um das Handy zu entsperren. Er hat nun Zugriff auf die Email des Besitzers. Mit dieser kann er z.B. an den Ebay- oder Paypal-Account gelangen. Und echten finanziellen Schaden anrichten.

Das geht alles im ganz kleinkriminellen Stil.

sicherer als ein code

Also fast alle die ich kenne nutzen einen 4 stelligen (zahlen)code für ihr smartphone. Das kann man ja wohl kaum als sicheres passwort bezeichnen.

Somit kann man ja wohl von einer verbesserung der sicherheit reden, oder?

zumindest ein kompromiss aus bequemlichkeit und sicherheit. der 4 stellige code ist im gegensatz zu einem 10 stelligen passwort mit sonderzeichen (auf der handytastatur) wohl nur bequem.