Samsung bewirbt sein Smartphone Galaxy S8 mit einer „besonders sicheren“ Iris-Erkennung. Ein Blick in die Kamera reicht, um sein Smartphone zu entsperren. Der Chaos Computer Club warnt seit Jahren davor, dass biometrische Merkmale die Sicherheit nicht zwingend erhöhen und es deshalb eher fahrlässig ist, biometrische Merkmale zu Zahlungen etc. einzusetzen. Nun hat ein Mitglied des Hacker-Vereins einmal mehr mit einem einfachen Trick demonstriert, wie leicht sich Biometrie tatsächlich aushebeln lässt.

In einem Video wird gezeigt, wie der Sicherheitsforscher starbug, der hauptberuflich als Dokotorand bei der Deutschen Telekom im T-Labs beschäftigt ist, eine Kontaktlinse auf ein Foto von seinem Gesicht legt und damit den Iris-Scanner des Samsung Galaxy S8 austrickst. Er hält dazu lediglich das Foto samt Linse vor die Kamera des Smartphones und das Gerät reagiert darauf. Es entsperrt das Smartphone, obwohl nicht Krissler davor sitzt, sondern „nur“ sein Foto samt Kontaktlinse.

Sperre leicht zu knacken

Auf das Foto alleine würde der Iris-Scanner von Samsung freilich nicht reagieren. Das heißt, alleine ein Foto vom Auge reicht nicht. Der Scanner würde in dem Fall erkennen, dass das Bild flach und nicht wie ein Auge gekrümmt ist. Aber mit der Kontaktlinse, die als „Wegwerf“-Tageslinse nur wenige Euro kostet, lässt sich der Scanner des Galaxy S8 problemlos austricksen. Wie genau starbug den Scanner ausgetrickst hat, sieht man in dem Video. Das Foto stammt jedenfalls aus einem herkömmlichen Laser-Drucker.

Zwar sind Augenstrukturen ebenso wie Fingerkuppen prinzipiell einzigartig, das bedeutet aber nicht automatisch, dass sie als Zugangssperre von Smartphones oder zur Bestätigung von Geschäftsabwicklungen geeignet sind. Das Problem mit dem Fingerabdruck und dem Auge als biometrisches Authentifizierungsverfahren: Man hinterlässt sie an vielen Orten, ohne es zu merken.

Fingerabdruck ist sicherer als Iris-Sperre

„Das Sicherheitsrisiko bei der Authentifizierung mithilfe von Augen ist noch größer als bei Fingerabdrücken, weil wir unsere Augen sehr viel öfters herzeigen. Unter solchen Umständen reicht bereits ein hochauflösendes Bild aus dem Internet, um die Sicherheitsvorkehrung auszuhebeln“, erklärt Dirk Engling, ein Sprecher des CCC in einer Pressemitteilung.

Starbug hatte bereits innerhalb von 24 Stunden nach der Einführung der Touch ID im Jahr 2013 beim iPhone 5S den Fingerabdruck-Sensor ausgetrickst. 2016 hat Apple nun auch in die Touch Bar der neuen MacBook Pro seine Fingerabdruckscanner-Technologie integriert. Das Auflegen des Fingers reicht, um sich bei seinem Apple-Laptop anzumelden. Bei seinem Vortrag in Wien im Rahmen der „Privacy Week“ erzählte der Sicherheitsforscher auch, wie er Gesichtserkennungssoftware ausgetrickst hat.

Dieser Artikel erschien zuerst auf Futurezone.at.

Neueste Videos auf futurezone.de