path: root/updates/2017/iriden.md

title: Chaos Computer Club hackt Iriserkennung des Samsung Galaxy S8
date: 2017-05-22 22:24:00 
updated: 2017-05-24 15:30:12 
author: 46halbe
tags: update, pressemitteilung

Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten: Die Iriserkennung des neuen Samsung Galaxy S8 wurde von Hackern des Chaos Computer Clubs (CCC) erfolgreich überwunden. Ein Video zeigt, wie einfach das geht.

<!-- TEASER_END -->

Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit
sogenannter Iriserkennung. Hersteller des biometrischen
Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird
eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine
individuellen Besitzer – und zwar nur diese – anhand des einzigartigen
Musters ihrer Regenbogenhaut erkennen.

Dieses Versprechen hält einem Test nicht stand: Mit einer einfach
nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das
Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt
das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das
Vorgehen. \[0\]

Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen,
mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des
Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren.
„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt,
mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen
Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk
Engling, Sprecher des CCC. Samsung plant die Integration der
Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es
Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die
Geldbörse zu bekommen.

Die Technologie der Iriserkennung schickt sich gerade an, in den
Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und
Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit
Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale
lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben
werden.

Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und
Biometrieforscher starbug zeigen, dass sie leicht überwunden werden
können, als er mit einfachen Mitteln den entsprechenden Sensor des
iPhones umging. \[1\] „Das Sicherheitsrisiko ist bei der Iris jedoch
noch größer als bei Fingerabdrücken, da man das biometrische Merkmal
viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein
hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu
erbeuten,“ sagte Dirk Engling weiter.

Auch wer keine Bilder von sich ins Internet stellt, kann leicht um
seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare
Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer
Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In
diesem normalerweise herausgefilterten Frequenzband sind auch die in
sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut
zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer
handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer
Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten
von Iriserkennungssystemen anfertigen kann. \[2\]

Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst
werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit
einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse
erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um
die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine
über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen
Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor
der Linse.

Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit
Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens
das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann
Bescheid.

**Update 24. Mai, 17:00h:** Sebastian von der Verbraucherzentrale
Sachsen hat einen ähnlichen Angriff in einem Video vom 15. Mai \[3\]
bereits demonstriert. Gratulation!

**Links**:

\[0\] Video [erklärt das Vorgehen zur Überwindung der
Iriserkennung](https://media.ccc.de/v/biometrie-s8-iris-fun) (HD),
weitere Videos [in Deutsch](https://media.ccc.de/v/biometrie-s8-iris)
und [Englisch](https://media.ccc.de/v/biometrie-s8-iris-en).

\[1\] [Chaos Computer Club hackt Apple
TouchID](/de/updates/2013/ccc-breaks-apple-touchid)

\[2\] Vortragsvideo: [Ich sehe, also bin ich … Du – Gefahren von Kameras
für (biometrische)
Authentifizierungsverfahren](https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug)

\[3\] Video der Verbraucherzentrale Sachsen: [Let's Setup Together:
Samsung Galaxy S8: Wie sicher sind die biometrischen
Funktionen?](https://www.youtube.com/watch?v=Gbiyr7beAuo)

Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de.