Fingerabdrucksensoren in Smartphones lassen sich leicht überlisten

Smartphones sind nur unzureichend geschützt, wenn das Entsperren per Fingerabdruck möglich ist. Zu diesem Ergebnis kommt die Cisco Talos Intelligence Group in einer Studie. Fünf der sechs getesteten Modelle konnten mit kopierten Fingerabdrücken überlistet werden, ebenso ein iPad der fünften Generation. Schwächen offenbarte auch der Sensor eines MacBook Pro des Modelljahres 2018. Notebooks mit Windows 10 und Windows Hello verweigerten hingegen den Zugriff. Das Besondere: Die Hardware zum Kopieren der Abdrücke kostet weniger als 2000 US-Dollar.

Für die Versuche nutzten die Forscher drei verschiedene Verfahren, um an den Originalabdruck zu gelangen: ein Abdruck in Plastilin, ein Fingerabdruckscanner im Zusammenspiel mit einem Arduino Uno und ein hochauflösendes Foto eines Abdrucks mit anschließender Bildbearbeitung. Aus den gewonnenen Abdrücken fertigte das Team mit einem UV-LED-3D-Drucker und Gussformen die Kopien.

Als am wenigsten erfolgversprechend entpuppte sich im Versuch der per Foto gewonnene Fingerabdruck. Ein iPhone 8 ließ sich damit nur in rund 40 Prozent der Versuche überlisten, die beiden anderen Methoden führten hingegen in mehr als 80 Prozent zum Erfolg. Beim Samsung Galaxy S10 und iPad gab es hingegen keine so großen Unterschiede zwischen den unterschiedlichen Kopien. Allerdings ließ sich Apples Tablet insgesamt weniger zuverlässig entsperren, das S10 hingegen auf allen drei Wegen in vier von fünf Fällen. Noch leichter überlisten ließen sich ein Samsung Galaxy Note 9 und ein Honor 7X. Bei beiden Modellen führte direkt genommene und anschließend kopierte Abdruck in allen 20 Versuchen zum Entsperren.

Windows Hello lässt sich nicht täuschen

An fünf verschiedenen Notebooks mit Windows 10 und Windows Hello scheiterten die Forscher hingegen. Als Grund hierfür wird der Algorithmus vermutet, den das Sicherheitssystem für den Abgleich zwischen hinterlegtem und erkanntem Abdruck nutzt. Da dieser in allen Geräten der gleiche ist, bezeichnet Talos die Ergebnisse als übertragbar auf andere Geräte mit Windows Hello. Ein MacBook Pro des Modelljahres 2018 überlisteten die kopierten Abdrücke hingegen zuverlässig: Der direkt sowie der per Scanner gewonnene Abdruck entsperrten das Notebook ins fast 100 Prozent der Versuche, der abfotografierte Abdruck hingegen nur in 60 Prozent der Fälle. Zwei USB-Sticks mit Fingerabdrucksensor ließen sich nicht entsperren, ein Schloss hingegen in etwa 70 Prozent der Fälle.

Im Zuge der Studie zeigten sich Fingerabdrucksensoren auf Ultraschallbasis im Vergleich unzuverlässiger als kapazitive und optische Sensoren. Derartige Ultraschallmodelle kommen unter anderem zum Einsatz, wenn der Sensor hinter dem Display sitzt – wie beispielsweise beim Samsung Galaxy S10 und S20 oder dem Oppo Find X2 Pro. Die Erfolgsquote hängt zudem vom Material der Gussform sowie vom Trägermaterial ab. Hier zeigte sich Textilkleber als besonders effektiv, vor allem in Verbindung mit Aluminium- oder Graphitpulver. Beim 3D-Drucker ist die Genauigkeit entscheidend. Hier verwendeten die Forscher ein Modell mit einer Genauigkeit von 25 µm. Zum Vergleich: Die Papillarleisten eines Abdrucks sind üblicherweise 500 µm breit und zwischen 20 und 50 µm tief.

Sicherheit für Durchschnittsnutzer ausreichend

Für den durchschnittlichen Nutzer ist das Sicherheitsniveau der Fingerabdrucksensoren ausreichend, so das Fazit der Talos-Studie. Daran ändert auch der vergleichsweise geringe finanzielle Aufwand nichts. Zwar sind entsprechende 3D-Drucker günstiger geworden, der Zeitaufwand ist jedoch enorm. Allein das Herstellen der letztlich eingesetzten Kopien habe mehrere Monate in Anspruch genommen. Befinden sich allerdings sensible Daten auf dem Smartphone oder Notebook, ist der Einsatz von Passwörtern oder Zwei-Faktor-Authentifizierung ratsam, so die Forscher. Das gilt auch für Systeme mit Windows Hello. (pbe)