summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
author46halbe <46halbe@berlin.ccc.de>2017-05-23 08:58:56 +0000
committer46halbe <46halbe@berlin.ccc.de>2020-05-23 13:40:02 +0000
commitdf27964825673c3291c40afe749c142ecae8748d (patch)
tree86b8d01d436396c068968b1af4ad02cb2b333ca9 /updates
parent53b1a292e843726ed1c55723c00ea6a89c486dd5 (diff)
committing page revision 1
Diffstat (limited to 'updates')
-rw-r--r--updates/2017/iriden.md91
1 files changed, 91 insertions, 0 deletions
diff --git a/updates/2017/iriden.md b/updates/2017/iriden.md
new file mode 100644
index 00000000..9fddb1c1
--- /dev/null
+++ b/updates/2017/iriden.md
@@ -0,0 +1,91 @@
1title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8
2date: 2017-05-22 22:24:00
3updated: 2017-05-23 08:58:56
4author: 46halbe
5tags: update, pressemitteilung
6
7Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.
8
9<!-- TEASER_END -->
10
11Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit
12sogenannter Iriserkennung. Hersteller des biometrischen
13Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird
14eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine
15individuellen Besitzer – und zwar nur diese – anhand des einzigartigen
16Musters ihrer Regenbogenhaut erkennen.
17
18Dieses Versprechen hält einem Test nicht stand: Mit einer einfach
19nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das
20Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt
21das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das
22Vorgehen. \[0\]
23
24Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen,
25mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des
26Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren.
27„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt,
28mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen
29Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk
30Engling, Sprecher des CCC. Samsung plant die Integration der
31Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es
32Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die
33Geldbörse zu bekommen.
34
35Die Technologie der Iriserkennung schickt sich gerade an, in den
36Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und
37Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit
38Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale
39lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben
40werden.
41
42Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und
43Biometrieforscher starbug zeigen, dass sie leicht überwunden werden
44können, als er mit einfachen Mitteln den entsprechenden Sensor des
45iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch
46noch größer als bei Fingerabdrücken, da man das biometrische Merkmal
47viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein
48hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu
49erbeuten,“ sagte Dirk Engling weiter.
50
51Auch wer keine Bilder von sich ins Internet stellt, kann leicht um
52seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare
53Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer
54Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In
55diesem normalerweise herausgefilterten Frequenzband sind auch die in
56sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut
57zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer
58handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer
59Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten
60von Iriserkennungssystemen anfertigen kann. \[2\]
61
62Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst
63werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit
64einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse
65erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um
66die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine
67über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen
68Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor
69der Linse.
70
71Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit
72Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens
73das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann
74Bescheid.
75
76**Links**:
77
78\[0\] Video [erklärt das Vorgehen zur Überwindung der
79Iriserkennung](http://live.ber.c3voc.de/releases/biometrie/12-hd.mp4)
80(HD), weitere Videos [in Deutsch und
81Englisch](http://live.ber.c3voc.de/releases/biometrie/) sowie [bei
82media.ccc.de](https://media.ccc.de/v/biometrie-s8-iris)
83
84\[1\] [Chaos Computer Club hackt Apple
85TouchID](/de/updates/2013/ccc-breaks-apple-touchid)
86
87\[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras
88für (biometrische)
89Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug)
90
91Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de.