Schwachstellen: Fingerabdruckklau leicht gemacht

Fingerabdruck-Scanner unter Android sind teils mit gravierenden Sicherheitsmängeln umgesetzt worden. Mit wenig Aufwand können Fingerabdrücke sogar gestohlen werden.

Artikel veröffentlicht am ,
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen.
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen. (Bild: Fireeye)

Passwörter lassen sich ändern, Fingerabdrücke aber nicht, warnen Experten. Umso erstaunlicher ist, wie einige Hersteller die Sicherheit der Fingerabdruck-Scanner unter Android vernachlässigen: Forscher haben gleich mehrere Sicherheitsmängel entdeckt. Der gravierendste dürfte das Speichern von eingelesenen Fingerabdrücken mit universalen Zugriffsrechten betreffen.

Stellenmarkt
  1. Consultant for Digital Transformation and Cloud Solution Engineer (m/f/d)*
    Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München
  2. Automation Expert (d/m/w)
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
Detailsuche

Jenseits vom Fingerabdruckklau von Fotos haben sich die IT-Sicherheitsforscher Yulong Zhang, Zhaofeng Chen, Hui Xue und Tao Wei vom Unternehmen Fireeye mit der Implementierung von Scannern auf mobilen Geräten beschäftigt. Auf dem 31C3 spotteten Frank Rieger und Ron vom Chaos Computer Club noch, Biometrie per Fingerabdruck sei nichts weiter als eine bessere Kindersicherung. Und selbst die lässt sich leicht aushebeln.

Ein Fingerabdruck bleibt ein Leben lang

Die Experten bei Fireeye warnen jedoch, Fingerabdruckleser würden bis 2019 weit verbreitet sein. Bereits jetzt werden sie nicht nur zum Anmelden am Smartphone genutzt, sondern auch für finanzielle Transaktionen. Sollte es möglich sein, massenhaft Fingerabdrücke von mobilen Geräten auszulesen, wäre das eine Katastrophe. Denn erstens lassen sich Fingerabdrücke nicht ändern und zweitens lassen sie sich eindeutig mit einer Person assoziieren. Biometrische Ausweise und andere Identifikationsmethoden wären gefährdet, wenn nicht gar obsolet.

Auf der vergangenen Hackerkonferenz Black Hat 2015 haben die Experten vier Angriffsszenarien auf Fingerabdruckleser unter Android beschrieben. Fast alle setzen zwar voraus, dass Malware auf einem Gerät installiert wurde. Mindestens einer könnte aber von völlig harmlosen Apps ausgenutzt werden. Auf dem HTC One Max beispielsweise wurden eingescannte Fingerabdrücke mit universalen Lese- und Schreibrechten gespeichert. Laut den Experten von Fireeye wurde der Hersteller informiert und hat inzwischen diese gravierende Lücke geschlossen.

Mehrere Angriffsvektoren

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Unter dem Namen Confused Authorization Attack beschreiben die Experten einen Angriff, bei dem eine App sich als Autorisierungsanwendung ausgibt und so den Benutzer dazu bringt, seinen Fingerabdruck einzugeben. Sicherheitssysteme unterschieden nicht korrekt zwischen Authentifizierung und Autorisierung, resümierten die Forscher. Jeder Autorisierung, etwa um eine Überweisung zu tätigen, müsse immer eine Authentifizierung vorausgehen. Bislang gehen Hersteller davon aus, dass das simple Anmelden bei einem Smartphone den Nutzer authentifiziere und Apps nur noch eine Autorisierung verlangen müssten.

Eine solche zusätzliche Absicherung müsse bereits auf Betriebssystemebene passieren, so die Forscher, etwa durch die Umsetzung von ARMs Sicherheitskonzept Trustzone. In dieser abgeschotteten Zone fände dann die direkte Interaktion mit dem Scanner statt. Dort würden auch die Fingerabdrücke gespeichert. Erst wenn der Nutzer sich erneut authentifiziert, dürfte eine App eine Autorisierung vornehmen. Diese Trustzones trennten sogar auf Kernel-Ebene. Apple setze eine ähnliche Technik bereits erfolgreich ein.

Unzureichend abgeschottet

Aber selbst wenn Trustzone implementiert wurde, ist der Zugriff auf den Sensor laut den Forschern in vielen Fällen nur unzureichend geschützt. Auf den Scanner können Apps auch mit weniger Rechten zugreifen. Bislang laufen Scanner maximal mit Systemrechten, schlimmstenfalls sogar nur mit Root-Rechten. Malware, die sich mit solchen Rechten einnistet, kann nicht nur bereits eingescannte Fingerabdrücke auslesen, sondern auch den Benutzer dazu bringen, seinen Fingerabdruck preiszugeben.

Schließlich sei es auch möglich, dass Angreifer einen Fingerabdruck als Hintertür unbemerkt auf einem Gerät platzierten, beschrieben die Forscher. Allerdings sei ein solcher Angriff äußerst schwierig umzusetzen, da er eine Modifikation der Systemapplikation "Einstellungen" voraussetze. Dazu müssten Angreifer den Schlüssel des Herstellers besitzen oder das ROM so modifizieren, dass das Betriebssystem mit ihrem eigenen Schlüssel signiert werde. Mit Root-Rechten lasse sich aber die Verifizierung der Schlüssel komplett ausschalten.

Nicht nur ein Android-Problem

Nicht nur Android-Geräte, sondern auch viele andere wie Laptops seien für einige der oben beschriebenen Angriffsvektoren anfällig. Auch dort würden die Treiber für Fingerabdruckleser selten in abgeschotteten Umgebungen laufen, sondern meist als Kernel-Treiber. Und auch dort könnten Angreifer, die sich entsprechende Rechte verschafft haben, sie missbrauchen und schlimmstenfalls eines der wichtigsten Identitätsmerkmale eines Anwenders stehlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


FreiGeistler 11. Aug 2015

Garantie dafür hast du keine, ein Passwort kannst du in solchen fällen wechseln. Darauf...

Dwalinn 11. Aug 2015

Ich sehe den Fingerabdruck eher als ein einfachen Pin für weniger wichtige Sachen, z.B...

Eheran 10. Aug 2015

Die eigene Kompetenz nicht einschätzen zu können ist leider normal: https://www.youtube...

PeteMeat 10. Aug 2015

Hallo, ich hab dazu ein paar Fragen, vielleicht kennt sich hier jemand aus und kann mir...



Aktuell auf der Startseite von Golem.de
Axie Infinity
Millionen-Hack bei Krypto-Game durch Jobangebot

Der Hack beim Krypto-Spiel Axie Infinity wurde durch ein gefälschtes Jobangebot ermöglicht - das sogar mehrere Bewerbungsrunden enthielt.

Axie Infinity: Millionen-Hack bei Krypto-Game durch Jobangebot
Artikel
  1. Diablo Immortal: Monetarisierung kommt erst im Endgame
    Diablo Immortal
    "Monetarisierung kommt erst im Endgame"

    Die "große Mehrheit" der Spieler gebe kein Geld aus: Blizzard-Chef Mike Ybarra hat sich zum Thema Geld in Diablo Immortal geäußert.

  2. Cariad: VW will wegen Softwareproblemen mehr Personal einstellen
    Cariad
    VW will wegen Softwareproblemen mehr Personal einstellen

    Volkswagen will seine Software-Tochter Cariad personell verstärken, weil es dort Entwicklungsprobleme gibt.

  3. Microsoft: Windows Subsystem für Android bekommt modernes Netzwerk
    Microsoft
    Windows Subsystem für Android bekommt modernes Netzwerk

    Das Android in Windows soll nun die gleiche IP-Adresse wie das Host-System nutzen und VPNs unterstützen. Auch AV1 kommt in das System.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Red Friday: Mega-Rabatt-Aktion bei Media Markt • LG OLED TV 77" 120 Hz günstig wie nie: 2.399€ • Amazon-Geräte günstiger • AMD Ryzen 5 günstig wie nie: 119€ • EVGA RTX 3090 günstig wie nie: 1.649€ • MindStar (MSI 31,5“ 165Hz 369€) • Der beste 2.000€-Gaming-PC [Werbung]
    •  /