Abo
  • Services:

Schwachstellen: Fingerabdruckklau leicht gemacht

Fingerabdruck-Scanner unter Android sind teils mit gravierenden Sicherheitsmängeln umgesetzt worden. Mit wenig Aufwand können Fingerabdrücke sogar gestohlen werden.

Artikel veröffentlicht am ,
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen.
Das aktuelle Sicherheitsmodell für Fingerabdruck-Scanner macht es Dieben leicht, Fingerabdrücke zu stehlen. (Bild: Fireeye)

Passwörter lassen sich ändern, Fingerabdrücke aber nicht, warnen Experten. Umso erstaunlicher ist, wie einige Hersteller die Sicherheit der Fingerabdruck-Scanner unter Android vernachlässigen: Forscher haben gleich mehrere Sicherheitsmängel entdeckt. Der gravierendste dürfte das Speichern von eingelesenen Fingerabdrücken mit universalen Zugriffsrechten betreffen.

Stellenmarkt
  1. RAUCH Landmaschinenfabrik GmbH, Sinzheim
  2. über duerenhoff GmbH, Raum Frankfurt

Jenseits vom Fingerabdruckklau von Fotos haben sich die IT-Sicherheitsforscher Yulong Zhang, Zhaofeng Chen, Hui Xue und Tao Wei vom Unternehmen Fireeye mit der Implementierung von Scannern auf mobilen Geräten beschäftigt. Auf dem 31C3 spotteten Frank Rieger und Ron vom Chaos Computer Club noch, Biometrie per Fingerabdruck sei nichts weiter als eine bessere Kindersicherung. Und selbst die lässt sich leicht aushebeln.

Ein Fingerabdruck bleibt ein Leben lang

Die Experten bei Fireeye warnen jedoch, Fingerabdruckleser würden bis 2019 weit verbreitet sein. Bereits jetzt werden sie nicht nur zum Anmelden am Smartphone genutzt, sondern auch für finanzielle Transaktionen. Sollte es möglich sein, massenhaft Fingerabdrücke von mobilen Geräten auszulesen, wäre das eine Katastrophe. Denn erstens lassen sich Fingerabdrücke nicht ändern und zweitens lassen sie sich eindeutig mit einer Person assoziieren. Biometrische Ausweise und andere Identifikationsmethoden wären gefährdet, wenn nicht gar obsolet.

Auf der vergangenen Hackerkonferenz Black Hat 2015 haben die Experten vier Angriffsszenarien auf Fingerabdruckleser unter Android beschrieben. Fast alle setzen zwar voraus, dass Malware auf einem Gerät installiert wurde. Mindestens einer könnte aber von völlig harmlosen Apps ausgenutzt werden. Auf dem HTC One Max beispielsweise wurden eingescannte Fingerabdrücke mit universalen Lese- und Schreibrechten gespeichert. Laut den Experten von Fireeye wurde der Hersteller informiert und hat inzwischen diese gravierende Lücke geschlossen.

Mehrere Angriffsvektoren

Unter dem Namen Confused Authorization Attack beschreiben die Experten einen Angriff, bei dem eine App sich als Autorisierungsanwendung ausgibt und so den Benutzer dazu bringt, seinen Fingerabdruck einzugeben. Sicherheitssysteme unterschieden nicht korrekt zwischen Authentifizierung und Autorisierung, resümierten die Forscher. Jeder Autorisierung, etwa um eine Überweisung zu tätigen, müsse immer eine Authentifizierung vorausgehen. Bislang gehen Hersteller davon aus, dass das simple Anmelden bei einem Smartphone den Nutzer authentifiziere und Apps nur noch eine Autorisierung verlangen müssten.

Eine solche zusätzliche Absicherung müsse bereits auf Betriebssystemebene passieren, so die Forscher, etwa durch die Umsetzung von ARMs Sicherheitskonzept Trustzone. In dieser abgeschotteten Zone fände dann die direkte Interaktion mit dem Scanner statt. Dort würden auch die Fingerabdrücke gespeichert. Erst wenn der Nutzer sich erneut authentifiziert, dürfte eine App eine Autorisierung vornehmen. Diese Trustzones trennten sogar auf Kernel-Ebene. Apple setze eine ähnliche Technik bereits erfolgreich ein.

Unzureichend abgeschottet

Aber selbst wenn Trustzone implementiert wurde, ist der Zugriff auf den Sensor laut den Forschern in vielen Fällen nur unzureichend geschützt. Auf den Scanner können Apps auch mit weniger Rechten zugreifen. Bislang laufen Scanner maximal mit Systemrechten, schlimmstenfalls sogar nur mit Root-Rechten. Malware, die sich mit solchen Rechten einnistet, kann nicht nur bereits eingescannte Fingerabdrücke auslesen, sondern auch den Benutzer dazu bringen, seinen Fingerabdruck preiszugeben.

Schließlich sei es auch möglich, dass Angreifer einen Fingerabdruck als Hintertür unbemerkt auf einem Gerät platzierten, beschrieben die Forscher. Allerdings sei ein solcher Angriff äußerst schwierig umzusetzen, da er eine Modifikation der Systemapplikation "Einstellungen" voraussetze. Dazu müssten Angreifer den Schlüssel des Herstellers besitzen oder das ROM so modifizieren, dass das Betriebssystem mit ihrem eigenen Schlüssel signiert werde. Mit Root-Rechten lasse sich aber die Verifizierung der Schlüssel komplett ausschalten.

Nicht nur ein Android-Problem

Nicht nur Android-Geräte, sondern auch viele andere wie Laptops seien für einige der oben beschriebenen Angriffsvektoren anfällig. Auch dort würden die Treiber für Fingerabdruckleser selten in abgeschotteten Umgebungen laufen, sondern meist als Kernel-Treiber. Und auch dort könnten Angreifer, die sich entsprechende Rechte verschafft haben, sie missbrauchen und schlimmstenfalls eines der wichtigsten Identitätsmerkmale eines Anwenders stehlen.



Anzeige
Top-Angebote
  1. (u. a. MSI X370 Gaming Plus + AMD Ryzen 5 1600 für 199€ statt ca. 230€ im Vergleich und Cooler...
  2. 159€ (Vergleichspreis 189,90€)
  3. 66,99€ (Vergleichspreis 83,98€) - Aktuell günstigste 500-GB-SSD!
  4. (u. a. WD Elements Portable 2 TB für 61,99€ statt 69,53€ im Vergleich und SanDisk Ultra...

FreiGeistler 11. Aug 2015

Garantie dafür hast du keine, ein Passwort kannst du in solchen fällen wechseln. Darauf...

Dwalinn 11. Aug 2015

Ich sehe den Fingerabdruck eher als ein einfachen Pin für weniger wichtige Sachen, z.B...

Eheran 10. Aug 2015

Die eigene Kompetenz nicht einschätzen zu können ist leider normal: https://www.youtube...

PeteMeat 10. Aug 2015

Hallo, ich hab dazu ein paar Fragen, vielleicht kennt sich hier jemand aus und kann mir...

al-bundy 10. Aug 2015

Merke: Auch wenn der Gutmichel zum Wutmichel mutiert, bleibt er ein Staatsmichel.


Folgen Sie uns
       


Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018)

Das Lenovo Thinkpad X1 Extreme wird das neue Top-Notebook des Unternehmens. Wir haben es samt Docking-Station auf der Ifa 2018 ausprobiert.

Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018) Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
  2. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos
  3. Videostreaming Neues Sky Ticket für Android und iOS verspätet sich

SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

    •  /