Apple Touch ID nicht sicher vor Fingerabdruckkopie
Der im iPhone 5S verbaute Fingerabdruckscanner wird von zahlreichen Experten sowie Nutzern bezüglich der Sicherheit kontrovers diskutiert. Apple gab sich zur Präsentation zuversichtlich und bezeichnete das System im Vergleich zu Konkurrenzprodukten als sicherer. Der Chaos Computer Club hat es trotzdem ausgetrickst.
Wie der CCC bekannt gibt, konnte das biometrische Sicherheitssystem „Touch ID“ von Hackern des deutschen Vereins „mit einfachsten Mitteln“, die bereits in der Vergangenheit zum Einsatz gekommen sind, umgangen werden.
Dafür benötigten die Hacker des CCC ein Foto des besagten Fingerabdrucks, das mit einer Auflösung von 2.400 dpi erstellt sowie anschließend am Computer bereinigt, invertiert und per Laserdrucker mit mindestens 1.200 dpi auf eine Transparenzfolie gedruckt wird. Im Anschluss wird auf das Druckbild hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht auf dem Trägermaterial ein Fingerabdruckbild, das nach dem Trocknen zur Benutzung nur noch durch ein Anhauchen angefeuchtet werden muss.
Apple hatte bei der Produktvorstellung betont, dass das neue System deutlich sicherer sein sollte als bisherige Fingerabdruckscanner, wie Anwender sie seit längerer Zeit aus Notebooks kennen. Tatsächlich hat der Sensor von Apple den Angaben des Chaos Computer Clubs zufolge im Vergleich zu bisherigen Konkurrenzprodukten eine höhere Auflösung. „Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, erklärt der Hacker mit dem Pseudonym starbug.
Der CCC sieht sich erneut in seiner Ansicht bestätigt, das Biometrie dafür geeignet ist, „Menschen zu überwachen und zu kontrollieren“, jedoch „nicht um alltägliche Geräte vor dem Zugriff zu sichern“. Der CCC hofft, dass der prominente Nachweis am iPhone 5S nun die „restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben“. „Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt“, so Rieger weiter.
Der Status für den in der vergangenen Woche von Nutzern ausgelobten Preis für den ersten Touch-ID-Hack in Höhe von rund 15.000 US-Dollar steht jetzt auf „Maybe“. Die Initiatoren von IsTouchIDHackedYet.com wollen den eigenen Angaben zufolge zunächst noch ein Video, welches den Herstellungsprozess des Fingerabdrucks dokumentiert, bevor sie das Preisgeld an den Chaos Computer Club auszahlen.
Wie die Initiatoren hinter dem Aufruf zum „Hacken“ von Touch ID bekannt gegeben haben, geht das von Spendern ausgelobte Preisgeld an den Chaos Computer Club. Da der vermeintliche Spender von 10.000 US-Dollar nach Bekanntgabe des Hacks sein Versprechen zurückgezogen hat, beläuft sich die dem CCC versprochene Summe auf gut 8.000 US-Dollar in Bar, gut zwei Dutzend Bitcoins, ein iPhone 5C sowie weitere Sachspenden. Offen bleibt, wie viel Geld beim CCC am Ende auch wirklich eingehen wird – denn nur die wenigsten Spender haben ihre Spende vorab hinterlegt.
Der Chaos Computer Club wird die Siegprämie der Berliner „Raumfahrtagentur“, eine „Werkstatt für die Forschung an Technologie und Maschine“, zukommen lassen.
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.