Abo
  • IT-Karriere:

Sicherheitssysteme gehackt: Passwörter ausspähen mit der Selfie-Kamera

Fingerabdrucksensoren und Iris-Erkennungen lassen sich austricksen: CCC-Hacker Starbug hat dafür einfache Werkzeuge gezeigt und einen Ausblick gegeben, welche bisher unerforschte Biometrietechnik er als Nächstes aushebeln will.

Artikel veröffentlicht am , /
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen.
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen. (Bild: Sony)

Zahlreiche biometrische Verfahren lassen sich offenbar leicht durch technische Methoden überwinden. Der Hacker Jan Krissler alias Starbug hat auf dem 31. Chaos Communication Congress am Samstag in Hamburg mehrere Verfahren vorgestellt, mit denen Fingerabdrucksensoren sowie Gesichts- oder Iriserkennung ausgetrickst werden können. "Der Iris-Scan ist kaputt", sagte Krissler und demonstrierte dies anhand von Aufnahmen mit Bundeskanzlerin Angela Merkel (CDU). Über die neue Methode, mit Hilfe von Fotos Fingerabdrücke zu erstellen, war bereits zuvor berichtet worden.

Stellenmarkt
  1. A. Menarini Research & Business Service GmbH, Berlin
  2. Scheugenpflug AG, Neustadtan der Donau

In seinem Vortrag zeigte Krissler zunächst, wie sich mittels Smartphone-Kameras beispielsweise Passwörter oder Pins ermitteln lassen, die zum Entsperren von Smartphones notwendig sind. Dabei werden Fotos ausgewertet, die sogar mit der Frontkamera, die gerne für Selbstporträts genutzt wird, aufgenommen wurden. Einige dieser Frontkameras sind mittlerweile genauso gut wie die Hauptkamera des Telefons. Durch die Reflexionen auf der Hornhaut oder einer Brille lassen sich die Fingerpositionen bei der Eingabe von einfachen Zugangsdaten ermitteln, die auf die vereinfachten Tastaturen setzen. Dazu gehören rein numerische Eingaben. Dafür sei die Auflösung moderner Frontkameras mittlerweile ausreichend, da nur wenige Pixel pro Zahl ausreichten, um die Daten herauszufinden. Es brauche zwar einige wenige Versuche, da das Verfahren nicht perfekt sei, aber in der Regel erlauben Smartphones die Mehrfacheingabe von Passwörtern.

Zuvor muss es Hackern natürlich gelungen sein, Zugriff auf die Kamerafunktion des Handys zu erhalten. Das sei aber nicht schwierig, da Anwender mittlerweile daran gewöhnt seien, dass zahlreiche Apps ohne erkennbaren Grund Zugriff auf die Kamera verlangen, so dass Anwender diese dennoch installieren. Angreifer können das mangelnde Sicherheitsbewusstsein der Nutzer ausnutzen. Krissler verwies zudem auf eine Studie der University of North Carolina, die bereits auf der CCS 2013 in Berlin einen solchen Keylogger vorgestellt hatte. Dabei waren die Reflexionen auf Brillen und Toastern ausgewertet worden, um Passwörter abzulesen.

Iris-Erkennung mit Wahlplakaten erstellen

Aufnahmen mit einer normalen Kamera sind laut Krissler auch ausreichend, um Verfahren zur Iriserkennung zu überlisten. Hierzu reicht eine Iris-Aufnahme von 75 Pixeln aus, die mit Spiegelreflexkameras noch mit dem Abstand von mehreren Metern erzielt werden kann. Krissler zeigte dazu ein Foto von Merkel, das auf einer Pressekonferenz mit einem Teleobjektiv aufgenommen worden war. Selbst Wahlplakate lieferten eine ausreichend hohe Auflösung, um für diese Zwecke genutzt zu werden, berichtet er. Um die Irisscanner auszutricksen, müssten die Fotos allerdings mit einer Druckerauflösung von 1.200 dpi ausgedruckt werden. Bei 600 dpi gebe es Schwierigkeiten bei der Erkennung.

Krissler räumte ein, dass es bei dunkelfarbiger Iris nicht so einfach sei, aus größerer Entfernung die Iris gut zu erfassen. Allerdings ließen sich in diesem Fall mit Hilfe von Infrarotkameras gute Ergebnisse erzielen. Die Lesegeräte böten allerdings keine Sicherheit. Er kenne kein Iris-System, dass sich nicht austricksen lasse. Das gelte auch für Geräte zur Grenzsicherung.

Erschreckend einfach lasse sich auch eine Gesichtserkennung ausschalten, die auf "Lebenderkennung" setzt. So reichte es in der Demonstration aus, ein Foto des Gesichts vor die Kamera zu halten und dann einen dünnen Bleistift von oben nach unten über das Bild zu führen. Damit wurde der Blinzeleffekt simuliert, der offenbar für eine Lebenderkennung ausreicht.

Der Venenscanner wird als Nächstes erforscht

Eine der noch wenigen nicht geknackten Biometrietechniken ist der Venenscanner, der schon lange zum Einsatz kommt. Fujitsu baut sie mittlerweile in Notebooks ein. Diese im Vergleich zu Fingerabdrucksensoren sehr hygienische Methode eignet sich vor allem für Bereiche, bei denen sich viele Personen authentifizieren müssen und bei denen Iris-Scanner oder Fingerabdrucksensoren nicht ausreichen. Anwender authentifizieren sich dabei mit Hilfe eines Venenabbilds in der Hand. Ein Venenscanner analysiert die Handinnenfläche, die über dem Gerät schwebt und erkennt so die eindeutige Venenstruktur mit. Dieses Abbild lässt sich im Unterschied zu einer Iris, einem Gesicht oder einem Fingerabdruck nicht einfach abfotografieren.

Doch Starbug arbeitet schon daran, die lange unbeachtete Biometrietechnik auszutricksen. Wer eine Venenscanner-Installation einsetzt, kann sich möglicherweise nicht mehr lange sicher fühlen: Starbug hat bereits erste Experimente durchgeführt und konnte zumindest gute und hochauflösene Abbilder erzeugen, wie er berichtete. Dazu verwendete er ebenfalls Infrarotkameras. Eine Überlistung dieser Biometriescanner steht aber noch aus.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 24,99€
  3. 3,99€

plutoniumsulfat 29. Dez 2014

da gibt's noch so einige andere Benutzer ;)

plutoniumsulfat 29. Dez 2014

klappt nur nicht, wenn es offline ist.

der kleine boss 29. Dez 2014

??? Ich sehe jeden Tag Rektalöffnungen auf Wahlplakaten.

plutoniumsulfat 29. Dez 2014

Übers Internet entfällt eben der Vorteil vom Internet ;)


Folgen Sie uns
       


Hyundai Kona Elektro - Test

Das Elektro-SUV ist ein echter Langläufer.

Hyundai Kona Elektro - Test Video aufrufen
Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

    •  /