Abo
  • Services:
Anzeige
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen.
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen. (Bild: Fireeye)

Schwachstellen: Fingerabdruckklau leicht gemacht

Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen.
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen. (Bild: Fireeye)

Fingerabdruck-Scanner unter Android sind teils mit gravierenden Sicherheitsmängeln umgesetzt worden. Mit wenig Aufwand können Fingerabdrücke sogar gestohlen werden.

Anzeige

Passwörter lassen sich ändern, Fingerabdrücke aber nicht, warnen Experten. Umso erstaunlicher ist, wie einige Hersteller die Sicherheit der Fingerabdruck-Scanner unter Android vernachlässigen: Forscher haben gleich mehrere Sicherheitsmängel entdeckt. Der gravierendste dürfte das Speichern von eingelesenen Fingerabdrücken mit universalen Zugriffsrechten betreffen.

Jenseits vom Fingerabdruckklau von Fotos haben sich die IT-Sicherheitsforscher Yulong Zhang, Zhaofeng Chen, Hui Xue und Tao Wei vom Unternehmen Fireeye mit der Implementierung von Scannern auf mobilen Geräten beschäftigt. Auf dem 31C3 spotteten Frank Rieger und Ron vom Chaos Computer Club noch, Biometrie per Fingerabdruck sei nichts weiter als eine bessere Kindersicherung. Und selbst die lässt sich leicht aushebeln.

Ein Fingerabdruck bleibt ein Leben lang

Die Experten bei Fireeye warnen jedoch, Fingerabdruckleser würden bis 2019 weit verbreitet sein. Bereits jetzt werden sie nicht nur zum Anmelden am Smartphone genutzt, sondern auch für finanzielle Transaktionen. Sollte es möglich sein, massenhaft Fingerabdrücke von mobilen Geräten auszulesen, wäre das eine Katastrophe. Denn erstens lassen sich Fingerabdrücke nicht ändern und zweitens lassen sie sich eindeutig mit einer Person assoziieren. Biometrische Ausweise und andere Identifikationsmethoden wären gefährdet, wenn nicht gar obsolet.

Auf der vergangenen Hackerkonferenz Black Hat 2015 haben die Experten vier Angriffsszenarien auf Fingerabdruckleser unter Android beschrieben. Fast alle setzen zwar voraus, dass Malware auf einem Gerät installiert wurde. Mindestens einer könnte aber von völlig harmlosen Apps ausgenutzt werden. Auf dem HTC One Max beispielsweise wurden eingescannte Fingerabdrücke mit universalen Lese- und Schreibrechten gespeichert. Laut den Experten von Fireeye wurde der Hersteller informiert und hat inzwischen diese gravierende Lücke geschlossen.

Mehrere Angriffsvektoren

Unter dem Namen Confused Authorization Attack beschreiben die Experten einen Angriff, bei dem eine App sich als Autorisierungsanwendung ausgibt und so den Benutzer dazu bringt, seinen Fingerabdruck einzugeben. Sicherheitssysteme unterschieden nicht korrekt zwischen Authentifizierung und Autorisierung, resümierten die Forscher. Jeder Autorisierung, etwa um eine Überweisung zu tätigen, müsse immer eine Authentifizierung vorausgehen. Bislang gehen Hersteller davon aus, dass das simple Anmelden bei einem Smartphone den Nutzer authentifiziere und Apps nur noch eine Autorisierung verlangen müssten.

Eine solche zusätzliche Absicherung müsse bereits auf Betriebssystemebene passieren, so die Forscher, etwa durch die Umsetzung von ARMs Sicherheitskonzept Trustzone. In dieser abgeschotteten Zone fände dann die direkte Interaktion mit dem Scanner statt. Dort würden auch die Fingerabdrücke gespeichert. Erst wenn der Nutzer sich erneut authentifiziert, dürfte eine App eine Autorisierung vornehmen. Diese Trustzones trennten sogar auf Kernel-Ebene. Apple setze eine ähnliche Technik bereits erfolgreich ein.

Unzureichend abgeschottet

Aber selbst wenn Trustzone implementiert wurde, ist der Zugriff auf den Sensor laut den Forschern in vielen Fällen nur unzureichend geschützt. Auf den Scanner können Apps auch mit weniger Rechten zugreifen. Bislang laufen Scanner maximal mit Systemrechten, schlimmstenfalls sogar nur mit Root-Rechten. Malware, die sich mit solchen Rechten einnistet, kann nicht nur bereits eingescannte Fingerabdrücke auslesen, sondern auch den Benutzer dazu bringen, seinen Fingerabdruck preiszugeben.

Schließlich sei es auch möglich, dass Angreifer einen Fingerabdruck als Hintertür unbemerkt auf einem Gerät platzierten, beschrieben die Forscher. Allerdings sei ein solcher Angriff äußerst schwierig umzusetzen, da er eine Modifikation der Systemapplikation "Einstellungen" voraussetze. Dazu müssten Angreifer den Schlüssel des Herstellers besitzen oder das ROM so modifizieren, dass das Betriebssystem mit ihrem eigenen Schlüssel signiert werde. Mit Root-Rechten lasse sich aber die Verifizierung der Schlüssel komplett ausschalten.

Nicht nur ein Android-Problem

Nicht nur Android-Geräte, sondern auch viele andere wie Laptops seien für einige der oben beschriebenen Angriffsvektoren anfällig. Auch dort würden die Treiber für Fingerabdruckleser selten in abgeschotteten Umgebungen laufen, sondern meist als Kernel-Treiber. Und auch dort könnten Angreifer, die sich entsprechende Rechte verschafft haben, sie missbrauchen und schlimmstenfalls eines der wichtigsten Identitätsmerkmale eines Anwenders stehlen.


eye home zur Startseite
FreiGeistler 11. Aug 2015

Garantie dafür hast du keine, ein Passwort kannst du in solchen fällen wechseln. Darauf...

Dwalinn 11. Aug 2015

Ich sehe den Fingerabdruck eher als ein einfachen Pin für weniger wichtige Sachen, z.B...

Eheran 10. Aug 2015

Die eigene Kompetenz nicht einschätzen zu können ist leider normal: https://www.youtube...

PeteMeat 10. Aug 2015

Hallo, ich hab dazu ein paar Fragen, vielleicht kennt sich hier jemand aus und kann mir...

al-bundy 10. Aug 2015

Merke: Auch wenn der Gutmichel zum Wutmichel mutiert, bleibt er ein Staatsmichel.



Anzeige

Stellenmarkt
  1. Universität Passau, Passau
  2. Giesecke & Devrient 3S GmbH, München
  3. Allgäuer Überlandwerk GmbH, Kempten
  4. Wirecard Technologies GmbH, Aschheim bei München


Anzeige
Blu-ray-Angebote
  1. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)
  2. (u. a. The Expendables 3 Extended 7,29€, Fight Club 6,56€, Predator 1-3 Collection 24,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Sandscout

    Angriff auf Apples Sandkasten

  2. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  3. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  4. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig

  5. Urheberrecht

    Der Abmahnerabmahner

  6. Raumfahrt

    Raketenstufen als Wohnung im Weltraum

  7. F1 2016 im Test

    Balsam für die Rennfahrer-Seele

  8. Anti-Tracking-Tool

    Mozilla beteiligt sich an Burdas Browser Cliqz

  9. Displays

    120 Hz für Notebooks, weniger Rand für Smartphones und TVs

  10. Kritische Infrastrukturen

    Wenn die USV Kryptowährungen schürft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Künstliche Muskeln Skelettroboter klappert mit den Zähnen
  2. Cyborg Ein Roboter mit Herz
  3. Pleurobot Bewegungen verstehen mit einem Robo-Salamander

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Geht das mit Kontaktlinsen?

    Bouncy | 23:07

  2. Re: und ich dachte organische LEDs sterben mit...

    ThaKilla | 23:05

  3. Re: Wundere mich, ob das zum e-book, e-mag lesen...

    Bouncy | 23:04

  4. Auswahl Nicht ganz schlüssig

    Drag_and_Drop | 23:02

  5. Re: MS hat das Programmieren verlernt....

    Spiritogre | 23:01


  1. 17:30

  2. 17:15

  3. 17:04

  4. 16:55

  5. 14:52

  6. 14:26

  7. 14:00

  8. 13:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel