From df27964825673c3291c40afe749c142ecae8748d Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Tue, 23 May 2017 08:58:56 +0000 Subject: committing page revision 1 --- updates/2017/iriden.md | 91 ++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 91 insertions(+) create mode 100644 updates/2017/iriden.md (limited to 'updates/2017') diff --git a/updates/2017/iriden.md b/updates/2017/iriden.md new file mode 100644 index 00000000..9fddb1c1 --- /dev/null +++ b/updates/2017/iriden.md @@ -0,0 +1,91 @@ +title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8 +date: 2017-05-22 22:24:00 +updated: 2017-05-23 08:58:56 +author: 46halbe +tags: update, pressemitteilung + +Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht. + + + +Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit +sogenannter Iriserkennung. Hersteller des biometrischen +Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird +eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine +individuellen Besitzer – und zwar nur diese – anhand des einzigartigen +Musters ihrer Regenbogenhaut erkennen. + +Dieses Versprechen hält einem Test nicht stand: Mit einer einfach +nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das +Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt +das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das +Vorgehen. \[0\] + +Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen, +mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des +Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. +„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, +mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen +Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk +Engling, Sprecher des CCC. Samsung plant die Integration der +Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es +Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die +Geldbörse zu bekommen. + +Die Technologie der Iriserkennung schickt sich gerade an, in den +Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und +Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit +Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale +lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben +werden. + +Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und +Biometrieforscher starbug zeigen, dass sie leicht überwunden werden +können, als er mit einfachen Mitteln den entsprechenden Sensor des +iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch +noch größer als bei Fingerabdrücken, da man das biometrische Merkmal +viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein +hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu +erbeuten,“ sagte Dirk Engling weiter. + +Auch wer keine Bilder von sich ins Internet stellt, kann leicht um +seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare +Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer +Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In +diesem normalerweise herausgefilterten Frequenzband sind auch die in +sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut +zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer +handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer +Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten +von Iriserkennungssystemen anfertigen kann. \[2\] + +Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst +werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit +einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse +erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um +die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine +über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen +Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor +der Linse. + +Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit +Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens +das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann +Bescheid. + +**Links**: + +\[0\] Video [erklärt das Vorgehen zur Überwindung der +Iriserkennung](http://live.ber.c3voc.de/releases/biometrie/12-hd.mp4) +(HD), weitere Videos [in Deutsch und +Englisch](http://live.ber.c3voc.de/releases/biometrie/) sowie [bei +media.ccc.de](https://media.ccc.de/v/biometrie-s8-iris) + +\[1\] [Chaos Computer Club hackt Apple +TouchID](/de/updates/2013/ccc-breaks-apple-touchid) + +\[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras +für (biometrische) +Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug) + +Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de. -- cgit v1.2.3