Realversuch

Fingerabdrücke lassen sich mit Fotos klauen

Der Fingerabdruckscanner des iPhone ist schon 2013 mit einer Fingerabdruckkopie vom Chaos Computer Club überlistet worden, doch für die Kopie brauchte es noch einen Abdruck. Nun ist bewiesen, dass sich Fingerabdrücke auch mit Hilfe von Fotos der Hände klauen lassen. Das wird einige Sicherheitsverfahren ad absurdum führen.

Von   Uhr
3 Minuten Lesezeit

Zeit Online machte zusammen mit Jan Krissler und Tobias Fiebig von der Technischen Universität Berlin den Praxisversuch und bat Fotografen, die Hände beziehungsweise die Fingerinnenseiten von Politikern zu fotografieren.

Das gelang zum Beispiel bei Bundesverteidigungsministerin Ursula von der Leyen. Die Politikerin gestikuliert viel und zeigte dabei auch die Innenseite ihrer Hände lang genug, so dass aus einer Distanz von 2 bis 3 Metern mit einem handelsüblichen 200 mm-Teleobjektiv eine Aufnahme gemacht werden konnte, die sich weiterverarbeiten ließ. Dies geschah mit der Software VeriFinger, die daraus einen Fingerabdruck generierte.

Der Fingerabdruck könnte nun ausdruckt werden, um mit ihm Fingerabdruckscanner wie den im iPhone zu überlisten. Das wird mit Hilfe eines Laserdruckers und transparenter Folie gemacht. Auf den Ausdruck wird Holzleim aufgetragen und getrocknet. Dort, wo der Toner aufgebracht wurde, ist die Oberfläche leicht erhöht. Das reicht zur Nachbildung der Rillen aus. Der getrocknete Kleber wird abgezogen, auf den eigenen Finger gelegt und kann dann benutzt werden. Eventuell muss man den Kleber anhauchen, um ihn etwas anzufeuchten.

Bislang benötigte man für die Kopieraktion einen Gegenstand, den das Opfer angefasst hatte. So kann beispielsweise einem Glas abfotografiert und der Fingerabdruck als Vorlage verwendet werden. Das ist deutlich aufwändiger als ein Foto zu bearbeiten. Für potentielle Opfer ist es auch erheblich schwerer, das heimliche Erfassen ihrer Fingerabdrücke zu verhindern. Die kopierten Finger ließen sich auch nutzen, um falsche Spuren an Tatorten zu hinterlassen. Ob das funktioniert, ließ Zeit Online aber offen.

Eigentlich bleibt nur noch eines: Handschuhe tragen oder die Fingerspitzen verstecken. Das gelingt Kanzlerin Merkel mit ihrer zum Markenzeichen gewordenen Rauten-Geste wohl sehr gut. Die Fotografen von Zeit Online schafften es nicht, nutzbare Bilder ihrer Fingerinnenseiten zu machen. Anders bei Bundesinnenminister Thomas de Maizère. Auch er gestikuliert viel. So konnten auswertebare Fotos geschossen werden, so Zeit Online.

Die Fotofinger zeigen eindrucksvoll, dass ein Fingerabdruck allein heutzutage kein Sicherheitsmerkmal mehr sein darf. Bei Logins, die nur mit dem Fingerabdruck abgesichert werden, könnten solche Tricks Probleme verursachen. Erst in Verbindung mit weiteren Faktoren wie beispielsweise einem Kennwort kann Sicherheit hergestellt werden.

Das könnte auch bei Apple Pay problematisch werden. Hier wird die Transaktion zwar mit dem NFC-Modul im iPhone eingeleitet und mit dem Fingerabdruck bestätigt, ein Kennwort wird jedoch nicht verlangt. Um das System zu missbrauchen, müsste aber Fingerabdruck und Smartphone entwendet werden. 

Apple Pay ist immer noch sicherer als das Zahlen mit traditionellen Kreditkarten, da hier (hierzulande) weder ein Code noch der Fingerabdruck benötigt wird.  In vielen Ländern sind Kreditkartenunternehmen jedoch mittlerweile dazu übergegangen, bei Transaktionen im Geschäft eine PIN-Eingabe zu verlangen.

Der Berliner Forscher Jan Krissler will seine Erkenntnisse im Rahmen eines Vortrags auf dem Jahreskongress 31C3 des CCC in Hamburg präsentieren.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Fingerabdrücke lassen sich mit Fotos klauen" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Oh man. Klar ist das "heavy", doch wat willst machen? Und ein Fingerabdruck(Scanner) ist nunmal schon ein enorm hohes Maß an Sicherheit. Noch mehr böte da wohl nur die Iris - doch auch die Augen kann man ja nun bekanntlich fotografieren...
100%ige Sicherheit wird es nie geben. Dank der Gentechnik hilft nicht mal DNS - diese "Sicherheitslücke haben wir uns selbst gebaut.

Doch darüber zu berichten, und - klar - Apple gleich wieder "mit rein zu ziehen" gehört ja nun schon zum guten Ton in praktisch jeder Art von Presse. Das jede dusselige EC-Karte mit nur 4 Zahlen gesichert ist, juckt heute scheinbar keinen mehr... Die üblichen "digitalen" Bezahler verlangen auch nur die Eingabe eines Passworts, mit Glück noch eine Tan - das war es dann aber auch.
Und was bieten die anderen Tec-Unternehmen? Hat Standard-Basher Samsung etwas besseres in Petto? Oder Microsoft? Was ist mit LG?
Nix. Also lasst doch bitte das liebe, gute Apple(Pay) aus dem Spiel und haltet euch an vernünftige, ernst zu nehmende Fakten und Argumente....

Du hast gerade wunderschön dargelegt warum Biometrie eben niemals für Sicherheit sorgen wird.
Und der Artikel nennt super alle Fakten und Argumente weshalb es problematisch ist sich auf TouchID & Co zu verlassen.

Woher bekommen die Theoretiker dann mein iPhone?
Und was machen sie mit dem gesperrten Device, falls sie es doch in die Hände bekommen?

NIX!!!

Was für eine beschissene Werbung auf den halben Screen des alten IPhone- nicht nur ist die Qualität des Berichtes beschissen - man wird im Sekundentakt mit Werbe überblendungen weg gejagt - leckt mich am meinem Aller wertesten ich unsubscribe mich von der Liste. Einfach nur zum Kotzen.

könnte …
… demnächst beim CCC

ist btw gerade live:
http://streaming.media.ccc.de/saal1/

Ich verstehe nicht, warum hier sowas provided wird.
Entweder es stimmt nicht, dann ist völliger murks, oder es stimmt, dann frage ich mich, was damit bezweckt werden soll. Förderung der Nachahmung ?

Stimmt, wenn man das Problem ignoriert existiert es nicht...

Habe ich etwas überlesen oder fehlt d eigentlich der Beweis das es wirklich klappt? Ich habe nirgends gelesen das es sie das mit einem ihnen bekannten und vorhandenen iPhone ausprobiert haben. So zeigt es doch erstmal nur das ein so gewonnener Fingerabdruck vom iPhone als solcher erkannt wird, es beweist jedoch nicht das da mit das iPhone von Frau von der Leyen hätte entsperrt werden können. Wie gesagt vielleicht habe ich es nur überlesen.

Zur Zeit trage ich Handschuhe.

Ich benutze den Fingerabdruckscaner des iPhones auch nur mit Handschuhe! Nebenbei, das hat den Vorteil das der Scan, welcher ja bekanntlich automatisch zur NSA gesant wird, nur das Strickmuster meines Handschus zeigt.

Die Kommentare für diesen Artikel sind geschlossen.