Bildschirmfoto aus einem Video von CCC-Mitglied Starbug, in dem er zeigt, dass sicher der Fingerscanner des iPhone 5S überwinden lässt. Am Mittelfinger ist die Folie mit dem falschen Abdruck zu erkennen.

Mitglieder des Chaos Computer Clubs haben die neue biometrische Sicherheitsfunktion des iPhone 5S gehackt und den eingebauten Fingerabdruckscanner überlistet. Sie hatten dazu einen Fingerabdruck von einer Glasoberfläche abfotografiert und so einen künstlichen Abdruck erzeugt. Damit gelang es ihnen ein iPhone 5s zu entsperren, welches mit dem TouchID geschützt war.

Das neue iPhone 5s ist mit einem Fingerabdrucksensor ausgestattet, der das Telefon laut Aussagen von Apple sicherer machen soll als bisherige Sensoren. Zweifel an Nutzen und Sicherheit dieser Technik gab es praktisch sofort. Auch Datenschützer warnten davor.

Nun zeigte der Chaos Computer Club (CCC), dass die Technik alles andere als sicher ist. Der CCC kommentiert: "Damit demonstrierten die Hacker wieder einmal, dass biometrische Daten zur Verhinderung eines unberechtigten Zugriffs vollkommen ungeeignet sind."

Um die Sicherheitsfunktion zu überwinden, brauchten die Hacker nur wenige Materialien: einen Computer, einen Laserdrucker, eine Overhead-Folie und weißen Holzleim. Die Entsperrung dokumentierten sie in einem Video.

Es ist das gleiche Verfahren, mit dem der CCC schon vor vielen Jahren demonstriert hat, dass sich Fingerabdrücke fälschen lassen: Ein echter Fingerabdruck wird dabei mit Sekundenkleber bedampft, wobei sich dessen Linien deutlich abzeichnen. Dann wird dieser Abdruck abfotografiert, das Bild am Computer nachbearbeitet und dann auf die transparente Folie gedruckt. Die wird anschließend mit Holzleim bestrichen. Ist dieser trocken, dient die entstandene dünne Schicht als neuer Fingerabdruck, um den iPhone-Scanner zu überlisten.

Im Gegensatz zum früheren Verfahren musste CCC-Mitglied Starbug nur die Auflösung des Fotos und des Druckes erhöhen. Außerdem musste er den gefälschten Finger noch anhauchen, damit er feucht wird. Das trickst den Metallring im iPhone-Scanner aus. Der soll eigentlich sicherstellen, dass ein lebender Finger aufgelegt wird und keine Attrappe.

CCC-Mitglied Dirk Engling twitterte, das Schwierigste dabei sei gewesen, ein iPhone 5S zu besorgen.

"Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden", sagte Frank Rieger, einer der Sprecher des CCC. "Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt."

Hacker in aller Welt hatten für den ersten, der den Scanner des iPhone 5S überwindet, einen Preis ausgelobt. Bislang stand die Seite "Ist TouchID gehackt" auf "No", seit Veröffentlichung des CCC-Videos steht dort "Maybe", vielleicht. Der CCC habe es möglicherweise geschafft, heißt es nun auf der Website. Vor Anerkennung des Hacks soll der Club aber noch ein Video einreichen, auf dem die Herstellung der Abdruck-Attrappe demonstriert wird. Das ist derzeit in Arbeit.

Viele Länder haben ihre Ausweisdokumente inzwischen mit Fingerabdrücken ausgestattet. In Deutschland werden im Personalausweis seit 2010 optional zwei Fingerabdrücke gespeichert. Laut CCC ist das wirkungslos und erhöht die Sicherheit des Dokuments nicht.