committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2017-05-23 08:58:56 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:40:02 +0000
commit: df27964825673c3291c40afe749c142ecae8748d (patch)
tree: 86b8d01d436396c068968b1af4ad02cb2b333ca9 /updates/2017
parent: 53b1a292e843726ed1c55723c00ea6a89c486dd5 (diff)
1 files changed, 91 insertions, 0 deletions
diff --git a/updates/2017/iriden.md b/updates/2017/iriden.md
new file mode 100644
index 00000000..9fddb1c1
--- /dev/null
+++ b/updates/2017/iriden.md
@@ -0,0 +1,91 @@
+title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8
+date: 2017-05-22 22:24:00 
+updated: 2017-05-23 08:58:56 
+author: 46halbe
+tags: update, pressemitteilung
+Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.
+<!-- TEASER_END -->
+Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit
+sogenannter Iriserkennung. Hersteller des biometrischen
+Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird
+eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine
+individuellen Besitzer – und zwar nur diese – anhand des einzigartigen
+Musters ihrer Regenbogenhaut erkennen.
+Dieses Versprechen hält einem Test nicht stand: Mit einer einfach
+nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das
+Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt
+das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das
+Vorgehen. \[0\]
+Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen,
+mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des
+Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren.
+„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt,
+mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen
+Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk
+Engling, Sprecher des CCC. Samsung plant die Integration der
+Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es
+Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die
+Geldbörse zu bekommen.
+Die Technologie der Iriserkennung schickt sich gerade an, in den
+Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und
+Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit
+Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale
+lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben
+werden.
+Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und
+Biometrieforscher starbug zeigen, dass sie leicht überwunden werden
+können, als er mit einfachen Mitteln den entsprechenden Sensor des
+iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch
+noch größer als bei Fingerabdrücken, da man das biometrische Merkmal
+viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein
+hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu
+erbeuten,“ sagte Dirk Engling weiter.
+Auch wer keine Bilder von sich ins Internet stellt, kann leicht um
+seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare
+Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer
+Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In
+diesem normalerweise herausgefilterten Frequenzband sind auch die in
+sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut
+zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer
+handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer
+Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten
+von Iriserkennungssystemen anfertigen kann. \[2\]
+Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst
+werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit
+einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse
+erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um
+die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine
+über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen
+Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor
+der Linse.
+Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit
+Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens
+das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann
+Bescheid.
+**Links**:
+\[0\] Video [erklärt das Vorgehen zur Überwindung der
+Iriserkennung](http://live.ber.c3voc.de/releases/biometrie/12-hd.mp4)
+(HD), weitere Videos [in Deutsch und
+Englisch](http://live.ber.c3voc.de/releases/biometrie/) sowie [bei
+media.ccc.de](https://media.ccc.de/v/biometrie-s8-iris)
+\[1\] [Chaos Computer Club hackt Apple
+TouchID](/de/updates/2013/ccc-breaks-apple-touchid)
+\[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras
+für (biometrische)
+Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug)
+Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de.
author	46halbe <46halbe@berlin.ccc.de>	2017-05-23 08:58:56 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:40:02 +0000
commit	df27964825673c3291c40afe749c142ecae8748d (patch)
tree	86b8d01d436396c068968b1af4ad02cb2b333ca9 /updates/2017
parent	53b1a292e843726ed1c55723c00ea6a89c486dd5 (diff)

diff --git a/updates/2017/iriden.md b/updates/2017/iriden.md new file mode 100644 index 00000000..9fddb1c1 --- /dev/null +++ b/updates/2017/iriden.md
@@ -0,0 +1,91 @@
	1	title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8
	2	date: 2017-05-22 22:24:00
	3	updated: 2017-05-23 08:58:56
	4	author: 46halbe
	5	tags: update, pressemitteilung
	6
	7	Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.
	8
	9	<!-- TEASER_END -->
	10
	11	Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit
	12	sogenannter Iriserkennung. Hersteller des biometrischen
	13	Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird
	14	eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine
	15	individuellen Besitzer – und zwar nur diese – anhand des einzigartigen
	16	Musters ihrer Regenbogenhaut erkennen.
	17
	18	Dieses Versprechen hält einem Test nicht stand: Mit einer einfach
	19	nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das
	20	Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt
	21	das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das
	22	Vorgehen. \[0\]
	23
	24	Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen,
	25	mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des
	26	Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren.
	27	„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt,
	28	mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen
	29	Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk
	30	Engling, Sprecher des CCC. Samsung plant die Integration der
	31	Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es
	32	Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die
	33	Geldbörse zu bekommen.
	34
	35	Die Technologie der Iriserkennung schickt sich gerade an, in den
	36	Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und
	37	Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit
	38	Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale
	39	lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben
	40	werden.
	41
	42	Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und
	43	Biometrieforscher starbug zeigen, dass sie leicht überwunden werden
	44	können, als er mit einfachen Mitteln den entsprechenden Sensor des
	45	iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch
	46	noch größer als bei Fingerabdrücken, da man das biometrische Merkmal
	47	viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein
	48	hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu
	49	erbeuten,“ sagte Dirk Engling weiter.
	50
	51	Auch wer keine Bilder von sich ins Internet stellt, kann leicht um
	52	seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare
	53	Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer
	54	Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In
	55	diesem normalerweise herausgefilterten Frequenzband sind auch die in
	56	sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut
	57	zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer
	58	handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer
	59	Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten
	60	von Iriserkennungssystemen anfertigen kann. \[2\]
	61
	62	Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst
	63	werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit
	64	einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse
	65	erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um
	66	die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine
	67	über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen
	68	Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor
	69	der Linse.
	70
	71	Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit
	72	Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens
	73	das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann
	74	Bescheid.
	75
	76	Links:
	77
	78	\[0\] Video [erklärt das Vorgehen zur Überwindung der
	79	Iriserkennung](http://live.ber.c3voc.de/releases/biometrie/12-hd.mp4)
	80	(HD), weitere Videos [in Deutsch und
	81	Englisch](http://live.ber.c3voc.de/releases/biometrie/) sowie [bei
	82	media.ccc.de](https://media.ccc.de/v/biometrie-s8-iris)
	83
	84	\[1\] [Chaos Computer Club hackt Apple
	85	TouchID](/de/updates/2013/ccc-breaks-apple-touchid)
	86
	87	\[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras
	88	für (biometrische)
	89	Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug)
	90
	91	Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de.