, Andreas Proschofsky

Chaos Computer Club hackt Apples Touch-ID

Fingerabdrucksensor des iPhone 5S lässt sich einfach austricksen

Biometrische Daten seien prinzipiell nicht als Sicherheitssysteme geeignet, warnt der Chaos Computer Club - das gelte auch für Apples Touch-ID.

foto: ng han guan / ap

Es ist eines der herausragenden Merkmale des neuen iPhone 5S: Apples Touch-ID soll das Smartphone zuverlässig vor dem Zugriff Dritter sichern, so das Versprechen. Angesichts früherer Erfahrungen mit Fingerabdrucksystemen, hatten so manche Sicherheitsexperten diese Behauptung rasch in Zweifel gezogen, der Chaos Computer Club (CCC) liefert nun die Bestätigung.

Ausgetrickst

Wie die deutsche Hacker-Organisation in einer Aussendung feststellt, sei es gelungen Apples Touch-ID auszutricksen - und dies mit seit Jahren bekannten und recht einfachen Mitteln. Apples Versprechen, dass der eigene Sensor einen signifikanten Fortschritt gegenüber früheren Systemen darstellt, habe sich insofern nicht bewahrheitet.

Ablauf

Den Ablauf des Hacks umreißt man folgendermaßen: Es wird ein hochauflösendes Foto eines Fingerabdrucks angefertigt, welches dann am Computer invertiert und von etwaigen Fehlern bereinigt wird, um es dann per Laserdrucker auf eine Transparenzfolie zu drucken. Auf dieses Druckbild wird dann wahlweise hautfarbene Latexmilch oder weißer Holzleim aufgebracht. Durch die Drucklinien entstehe ein Fingerabdruckmuster im aufgebrachten Material. Nachdem das Material getrocknet ist, kann es also abgenommen, durch Anhauchen leicht angefeuchtet, und in Folge als falscher Fingerabdruck eingesetzt werden. Einziger Unterschied zu früheren Hacks sei gewesen, dass man beim Scannen des Originalabdrucks eine etwas höhere Auflösung verwenden habe müssen.

Der CCC nutzt dabei die Gelegenheit, grundlegende Kritik an entsprechenden Sicherheitslösungen anzubringen: "Wir hoffen, dass dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt", so CCC-Sprecher Frank Rieger. Biometrie sei lediglich dazu geeignet, Menschen zu überwachen, nicht, um alltägliche Geräte vor dem Zugriff zu sichern.

Im Fall des Falles

Als problematisch sieht man zudem an, dass es viel einfacher sei, jemanden gegen seinen Willen den Fingerabdruck abzunehmen, als zum Ausplauden eines Passworts zu bringen. In Summe rät man allen, die ihre Daten effektiv schützen wollen, von der Verwendung von Touch-ID ab.

Vergleiche

Angemerkt werden muss, dass der Schutz per Fingerabdruck natürlich noch immer "sicherer" ist, als keinerlei Sperre einzusetzen, ähnlich wie es etwa auch für das "Face Unlock" von Android gilt. Für den wirklich zuverlässigen Schutz von sensiblen Daten - etwa bei Firmengeräten - sind allerdings beide Systeme untauglich. Diese Realität widerspricht allerdings direkt den Aussagen von Apple, das Touch-ID als "extrem sicher" bewirbt.

Wettbewerb

Unterdessen wurde der Status auf IsTouchIDhackedyet.com auf "Maybe" gesetzt. Über die Seite wurden Spenden für jene Personen gesammelt, die es als erste schaffen sollten, Touch-ID auszuhebeln. Bis man auf ein "Yes" wechselt, will man noch ein Video abwarten, das den gesamten Hack-Ablauf dokumentiert. (Andreas Proschofsky, derStandard.at, 23.9.2013)

Mehr zum Thema Netzpolitik