Android-Smartphones: Preiswerte Attacke umgeht Fingerabdrucksensoren

Die Bruteprint genannte Attacke kann Fingerabdrucksperren von Android-Smartphones teilweise in weniger als einer Stunde knacken.

Artikel veröffentlicht am ,
Ein Smartphone mit Fingerabdruckerkennung
Ein Smartphone mit Fingerabdruckerkennung (Bild: Pexels/Pexels-Lizenz)

Forscher der Universität Zhejiang in China haben eine Methode gefunden, bei Android-Smartphones mit minimalen Mitteln und akzeptablem Zeitaufwand die Fingerabdrucksperre zu umgehen. Die Bruteprint genannte Attacke nutzt den Umstand aus, dass bei den Smartphones keine exakte Übereinstimmung der gespeicherten Fingerabdrücke notwendig ist.

Wie Ars Technica berichtet, reicht es stattdessen aus, dass eine Schwelle an Gemeinsamkeiten erreicht ist. Bruteprint schaltet sich in den Überprüfungsprozess ein und verwendet eine Datenbank an Fingerabdrücken, um einen zu finden, der den gespeicherten Abdrücken ausreichend entspricht. Solche Datenbanken sind durch Leaks verfügbar.

Bruteprint besteht aus einem kleinen Board, das einen STM32F412-Microcontroller und einen Speicher mit einer Fingerabdruckdatenbank enthält. Das Board wird mit dem Smartphone verbunden, wofür es geöffnet werden muss. Dieser Umstand sowie der mitunter notwendige Zeitaufwand dürften unbemerkte Attacken ausschließen.

Wissenschaftler untersuchten zehn verschiedene Modelle

Die Forscher testeten ihr Vorgehen mit zehn Smartphone-Modellen, unter anderem einem Galaxy S10+, einem Xiaomi Mi 11 Ultra, einem Oneplus 7 Pro und einem iPhone 7 und SE. Bei den iPhones funktionierte die Attacke nicht, da die Fingerabdruckdaten verschlüsselt gespeichert werden.

Bruteprint schaltet die bei Android-Smartphones vorhandene Beschränkung aus, die festlegt, wie oft eine Entsperrung mit dem Fingerabdruck erfolglos stattfinden kann. Normalerweise verlangen Android-Geräte nach wenigen erfolglosen Versuchen die Eingabe einer PIN. Durch die Umgehung dieses Mechanismus konnten die Forscher stundenlang versuchen, die Geräte zu entsperren.

Die Zeit, die für eine erfolgreiche Attacke notwendig war, variierte von Gerät zu Gerät. In den Tests der Forscher lag der Zeitaufwand zwischen ungefähr 40 Minuten und 14 Stunden. Der verhältnismäßig niedrige Kostenaufwand von ca. 15 US-Dollar für die elektronischen Komponenten könnte eine solche Attacke für Diebe interessant machen, aber auch für Behörden, die Android-Smartphones beschlagnahmten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Smartphone-Hersteller
Oppo entfernt alle Produkte von deutscher Webseite
artikel-bild
Deaktivierung lokaler Wiedergabe geplant
Sonos-App bietet Grundfunktion überraschend weiterhin
artikel-bild
Smartphone
iFixit verkauft Nokia-Originalersatzteile
Meistgelesen
artikel-bild
Powerstation vs Balkonkraftwerk
Mit welcher Lösung sich am besten Energie sparen lässt
artikel-bild
Energiewende in Sachsen-Anhalt
Installation von Balkonkraftwerken steigt deutlich
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
Kommentarübersicht
Re: Versteht ich nicht
achIch 30. Mai 2023 / Themenstart

Und darum dreht sich der gesamte Inhalt des Artikels, Fingerabdrucksensor mit Elektronik...

Re: Biometrie ist ein rotes Tuch
elcaron 30. Mai 2023 / Themenstart

Da ist aber nicht unbedingt wahrscheinlich, dass es einen Gerichtsbeschluss zu...

Re: Sie schalteten die Sicherheitsmaßnahmen aus
elcaron 30. Mai 2023 / Themenstart

Fingerabdrücke können in vielen Ländern, darunter Deutschland, erzwungen werden: https...

Re: Wow, was für ein Hack. Wir werden alla störben.
ITsMe 29. Mai 2023 / Themenstart

Mit "geöffnet" wird in diesem Fall wohl die Hardware gemeint sein und nicht entsperrt...

Kommentieren

Aktuell auf der Startseite von Golem.de
Energiewende
Solarstrom aus dem All

Das Konzept ist ein halbes Jahrhundert alt: sauberen Strom im All zu erzeugen und zur Erde zu übertragen. Das erste Experiment dazu ist jetzt offenbar geglückt.
Ein Bericht von Werner Pluta

Energiewende: Solarstrom aus dem All
Artikel
  1. Oliver Samwer: Rocket Internet verabschiedet sich aus Start-up-Finanzierung
    Oliver Samwer
    Rocket Internet verabschiedet sich aus Start-up-Finanzierung

    Rocket Internet baut keine Start-up-Clones mehr auf. Oliver Samwer fährt lieber Ski in Alaska oder lässt sich von einem Lenkdrachen durch Meereswellen ziehen.

  2. KI-Texte erkennen: Wer hat's geschrieben, Mensch oder Maschine?
    KI-Texte erkennen
    Wer hat's geschrieben, Mensch oder Maschine?

    Modelle wie ChatGPT sind so gut, dass sich KI- und Menschen-Texte kaum unterscheiden lassen. Forscher arbeiten nun an Verfahren, die sich nicht täuschen lassen.
    Ein Deep Dive von Andreas Meier

  3. Energiewende: Blumenkübel mit Solaranlage kostet 1.000 Euro
    Energiewende
    Blumenkübel mit Solaranlage kostet 1.000 Euro

    Die Ideen, wie sich steckerfertige Solaranlagen verpacken lassen, nehmen nicht ab: Greenakku bietet jetzt eine Blumenkübel-Sichtschutz-Kombination an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 inkl. GoW Ragnarök oder CoD MW2 549€ • MSI RTX 4070 Ti 999€ • Gigabyte 43" 4K UHD 144 Hz 717€ • Amazon FireTV Smart-TVs bis -32% • MindStar: AMD Ryzen 7 5800X3D 285€, PowerColor RX 7900 XTX Hellhound 989€ • SanDisk Ultra NVMe 1TB 39,99€ • Samsung 980 1TB 45€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /