diff options
-rw-r--r-- | updates/2017/iriden.md | 91 |
1 files changed, 91 insertions, 0 deletions
diff --git a/updates/2017/iriden.md b/updates/2017/iriden.md new file mode 100644 index 00000000..9fddb1c1 --- /dev/null +++ b/updates/2017/iriden.md | |||
@@ -0,0 +1,91 @@ | |||
1 | title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8 | ||
2 | date: 2017-05-22 22:24:00 | ||
3 | updated: 2017-05-23 08:58:56 | ||
4 | author: 46halbe | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit | ||
12 | sogenannter Iriserkennung. Hersteller des biometrischen | ||
13 | Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird | ||
14 | eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine | ||
15 | individuellen Besitzer – und zwar nur diese – anhand des einzigartigen | ||
16 | Musters ihrer Regenbogenhaut erkennen. | ||
17 | |||
18 | Dieses Versprechen hält einem Test nicht stand: Mit einer einfach | ||
19 | nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das | ||
20 | Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt | ||
21 | das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das | ||
22 | Vorgehen. \[0\] | ||
23 | |||
24 | Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen, | ||
25 | mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des | ||
26 | Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. | ||
27 | „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, | ||
28 | mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen | ||
29 | Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk | ||
30 | Engling, Sprecher des CCC. Samsung plant die Integration der | ||
31 | Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es | ||
32 | Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die | ||
33 | Geldbörse zu bekommen. | ||
34 | |||
35 | Die Technologie der Iriserkennung schickt sich gerade an, in den | ||
36 | Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und | ||
37 | Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit | ||
38 | Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale | ||
39 | lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben | ||
40 | werden. | ||
41 | |||
42 | Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und | ||
43 | Biometrieforscher starbug zeigen, dass sie leicht überwunden werden | ||
44 | können, als er mit einfachen Mitteln den entsprechenden Sensor des | ||
45 | iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch | ||
46 | noch größer als bei Fingerabdrücken, da man das biometrische Merkmal | ||
47 | viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein | ||
48 | hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu | ||
49 | erbeuten,“ sagte Dirk Engling weiter. | ||
50 | |||
51 | Auch wer keine Bilder von sich ins Internet stellt, kann leicht um | ||
52 | seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare | ||
53 | Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer | ||
54 | Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In | ||
55 | diesem normalerweise herausgefilterten Frequenzband sind auch die in | ||
56 | sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut | ||
57 | zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer | ||
58 | handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer | ||
59 | Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten | ||
60 | von Iriserkennungssystemen anfertigen kann. \[2\] | ||
61 | |||
62 | Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst | ||
63 | werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit | ||
64 | einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse | ||
65 | erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um | ||
66 | die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine | ||
67 | über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen | ||
68 | Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor | ||
69 | der Linse. | ||
70 | |||
71 | Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit | ||
72 | Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens | ||
73 | das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann | ||
74 | Bescheid. | ||
75 | |||
76 | **Links**: | ||
77 | |||
78 | \[0\] Video [erklärt das Vorgehen zur Überwindung der | ||
79 | Iriserkennung](http://live.ber.c3voc.de/releases/biometrie/12-hd.mp4) | ||
80 | (HD), weitere Videos [in Deutsch und | ||
81 | Englisch](http://live.ber.c3voc.de/releases/biometrie/) sowie [bei | ||
82 | media.ccc.de](https://media.ccc.de/v/biometrie-s8-iris) | ||
83 | |||
84 | \[1\] [Chaos Computer Club hackt Apple | ||
85 | TouchID](/de/updates/2013/ccc-breaks-apple-touchid) | ||
86 | |||
87 | \[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras | ||
88 | für (biometrische) | ||
89 | Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug) | ||
90 | |||
91 | Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de. | ||