Apples Touch ID des iPhone 5S schon gehackt

Nur drei Tage nach dem Erscheinen des neuen iPhone mit Fingerabdruck-Scanner ist das neue Sicherheits-Merkmal bereits ausgetrickst worden: Der Biometrie-Spezialist "Starbug" kann das Gerät mit nachgemachten Fingerabdrücken freischalten.

In Pocket speichern vorlesen Druckansicht 716 Kommentare lesen
Lesezeit: 2 Min.

Nur drei Tage nach dem Erscheinen von Apples iPhone 5S mit Fingerabdruck-Scanner gelang es dem Biometrie-Spezialisten "Starbug" ein iPhone mit nachgemachten Fingerabdrücken freizuschalten.

Starbug hatte bereits vor mehr als 10 Jahren für einen Test in c't alle damals üblichen Fingerabdruck-Scanner mit einfachen Mitteln ausgetrickst. Um zu testen, ob Apples neues iPhone die Fingerabdruckerkennung mit Touch ID durch grundsätzlich neue Verbesserungen sicherer machen konnte, organisierten heise Security und Mac & i kurzfristig ein Testgerät für den Biometrie-Spezialisten. Mit einem eindeutigen Ergebnis: Es gelang ihm innerhalb weniger Tage den Scanner mit herkömmlichen Methoden auszutricksen. "Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen" erklärt Starbug seinen Hack.

Das Video demonstriert zunächst das Einrichten einer Fingerabdrucksperre und ein erfolgreiches Anmelden mit dem registrierten Finger. Anschließend kommt die selbst gebaute Attrappe zum Einsatz, die obwohl sie auf einem anderen Finger aufgelegt wird, schon beim zweiten Anlauf das iPhone ebenfalls frei schaltet. Der Fingerabdruck wurde dazu zunächst mit einer Auflösung von 2400 dpi abfotografiert und nach etwas Bearbeitung mit einem Laserdrucker in hoher Auflösung ausgedruckt. Durch Auftragen von hautfarbener Latexmilch beziehungsweise Holzleim erzeugte der Hacker dann Attrappen mit den richtigen Konturen, die durch leichtes Anfeuchten den iPhone-Sensor zufrieden stellen.

Update 22.9.2103, 21:40: Der Status für den von Hackern ausgelobten Preis auf IsTouchIDhackedyet.com steht jetzt auf "Maybe"; die Initiatoren wollen zunächst noch ein Video, das den Erstellungsprozess der Attrappe dokumentiert, bevor sie den Hack als erfolgreich bewerten. Das wird derzeit produziert.

Update 23.9.2013, 08:15: Frank Rieger, Sprecher des CCC, kommentiert den Hack mit deutlichen Worten: "Wir hoffen, daß dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt. Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden. Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern." (ju)