Abo
  • Services:
Anzeige
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen.
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen. (Bild: Sony)

Sicherheitssysteme gehackt: Passwörter ausspähen mit der Selfie-Kamera

Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen.
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen. (Bild: Sony)

Fingerabdrucksensoren und Iris-Erkennungen lassen sich austricksen: CCC-Hacker Starbug hat dafür einfache Werkzeuge gezeigt und einen Ausblick gegeben, welche bisher unerforschte Biometrietechnik er als Nächstes aushebeln will.

Anzeige

Zahlreiche biometrische Verfahren lassen sich offenbar leicht durch technische Methoden überwinden. Der Hacker Jan Krissler alias Starbug hat auf dem 31. Chaos Communication Congress am Samstag in Hamburg mehrere Verfahren vorgestellt, mit denen Fingerabdrucksensoren sowie Gesichts- oder Iriserkennung ausgetrickst werden können. "Der Iris-Scan ist kaputt", sagte Krissler und demonstrierte dies anhand von Aufnahmen mit Bundeskanzlerin Angela Merkel (CDU). Über die neue Methode, mit Hilfe von Fotos Fingerabdrücke zu erstellen, war bereits zuvor berichtet worden.

In seinem Vortrag zeigte Krissler zunächst, wie sich mittels Smartphone-Kameras beispielsweise Passwörter oder Pins ermitteln lassen, die zum Entsperren von Smartphones notwendig sind. Dabei werden Fotos ausgewertet, die sogar mit der Frontkamera, die gerne für Selbstporträts genutzt wird, aufgenommen wurden. Einige dieser Frontkameras sind mittlerweile genauso gut wie die Hauptkamera des Telefons. Durch die Reflexionen auf der Hornhaut oder einer Brille lassen sich die Fingerpositionen bei der Eingabe von einfachen Zugangsdaten ermitteln, die auf die vereinfachten Tastaturen setzen. Dazu gehören rein numerische Eingaben. Dafür sei die Auflösung moderner Frontkameras mittlerweile ausreichend, da nur wenige Pixel pro Zahl ausreichten, um die Daten herauszufinden. Es brauche zwar einige wenige Versuche, da das Verfahren nicht perfekt sei, aber in der Regel erlauben Smartphones die Mehrfacheingabe von Passwörtern.

Zuvor muss es Hackern natürlich gelungen sein, Zugriff auf die Kamerafunktion des Handys zu erhalten. Das sei aber nicht schwierig, da Anwender mittlerweile daran gewöhnt seien, dass zahlreiche Apps ohne erkennbaren Grund Zugriff auf die Kamera verlangen, so dass Anwender diese dennoch installieren. Angreifer können das mangelnde Sicherheitsbewusstsein der Nutzer ausnutzen. Krissler verwies zudem auf eine Studie der University of North Carolina, die bereits auf der CCS 2013 in Berlin einen solchen Keylogger vorgestellt hatte. Dabei waren die Reflexionen auf Brillen und Toastern ausgewertet worden, um Passwörter abzulesen.

Iris-Erkennung mit Wahlplakaten erstellen

Aufnahmen mit einer normalen Kamera sind laut Krissler auch ausreichend, um Verfahren zur Iriserkennung zu überlisten. Hierzu reicht eine Iris-Aufnahme von 75 Pixeln aus, die mit Spiegelreflexkameras noch mit dem Abstand von mehreren Metern erzielt werden kann. Krissler zeigte dazu ein Foto von Merkel, das auf einer Pressekonferenz mit einem Teleobjektiv aufgenommen worden war. Selbst Wahlplakate lieferten eine ausreichend hohe Auflösung, um für diese Zwecke genutzt zu werden, berichtet er. Um die Irisscanner auszutricksen, müssten die Fotos allerdings mit einer Druckerauflösung von 1.200 dpi ausgedruckt werden. Bei 600 dpi gebe es Schwierigkeiten bei der Erkennung.

Krissler räumte ein, dass es bei dunkelfarbiger Iris nicht so einfach sei, aus größerer Entfernung die Iris gut zu erfassen. Allerdings ließen sich in diesem Fall mit Hilfe von Infrarotkameras gute Ergebnisse erzielen. Die Lesegeräte böten allerdings keine Sicherheit. Er kenne kein Iris-System, dass sich nicht austricksen lasse. Das gelte auch für Geräte zur Grenzsicherung.

Erschreckend einfach lasse sich auch eine Gesichtserkennung ausschalten, die auf "Lebenderkennung" setzt. So reichte es in der Demonstration aus, ein Foto des Gesichts vor die Kamera zu halten und dann einen dünnen Bleistift von oben nach unten über das Bild zu führen. Damit wurde der Blinzeleffekt simuliert, der offenbar für eine Lebenderkennung ausreicht.

Der Venenscanner wird als Nächstes erforscht

Eine der noch wenigen nicht geknackten Biometrietechniken ist der Venenscanner, der schon lange zum Einsatz kommt. Fujitsu baut sie mittlerweile in Notebooks ein. Diese im Vergleich zu Fingerabdrucksensoren sehr hygienische Methode eignet sich vor allem für Bereiche, bei denen sich viele Personen authentifizieren müssen und bei denen Iris-Scanner oder Fingerabdrucksensoren nicht ausreichen. Anwender authentifizieren sich dabei mit Hilfe eines Venenabbilds in der Hand. Ein Venenscanner analysiert die Handinnenfläche, die über dem Gerät schwebt und erkennt so die eindeutige Venenstruktur mit. Dieses Abbild lässt sich im Unterschied zu einer Iris, einem Gesicht oder einem Fingerabdruck nicht einfach abfotografieren.

Doch Starbug arbeitet schon daran, die lange unbeachtete Biometrietechnik auszutricksen. Wer eine Venenscanner-Installation einsetzt, kann sich möglicherweise nicht mehr lange sicher fühlen: Starbug hat bereits erste Experimente durchgeführt und konnte zumindest gute und hochauflösene Abbilder erzeugen, wie er berichtete. Dazu verwendete er ebenfalls Infrarotkameras. Eine Überlistung dieser Biometriescanner steht aber noch aus.


eye home zur Startseite
plutoniumsulfat 29. Dez 2014

da gibt's noch so einige andere Benutzer ;)

plutoniumsulfat 29. Dez 2014

klappt nur nicht, wenn es offline ist.

der kleine boss 29. Dez 2014

??? Ich sehe jeden Tag Rektalöffnungen auf Wahlplakaten.

plutoniumsulfat 29. Dez 2014

Übers Internet entfällt eben der Vorteil vom Internet ;)



Anzeige

Stellenmarkt
  1. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen
  2. Comline AG, Oldenburg
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Samvardhana Motherson Innovative Autosystems B.V. & Co. KG., Michelau


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 15,99€
  3. (-15%) 25,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Aktivierungsworte und englische Aussprache

    IchBIN | 04:37

  2. Re: Interessante Idee...

    IchBIN | 04:01

  3. Re: So funktioniert die App:

    Komischer_Phreak | 03:55

  4. Re: Es gibt keinen kostenlosen Google-Service

    divStar | 03:39

  5. Re: Dazu bräuchte es vor allem eine vernünftige...

    divStar | 03:37


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel