Abo
  • Services:

Sicherheitssysteme gehackt: Passwörter ausspähen mit der Selfie-Kamera

Fingerabdrucksensoren und Iris-Erkennungen lassen sich austricksen: CCC-Hacker Starbug hat dafür einfache Werkzeuge gezeigt und einen Ausblick gegeben, welche bisher unerforschte Biometrietechnik er als Nächstes aushebeln will.

Artikel veröffentlicht am , /
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen.
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen. (Bild: Sony)

Zahlreiche biometrische Verfahren lassen sich offenbar leicht durch technische Methoden überwinden. Der Hacker Jan Krissler alias Starbug hat auf dem 31. Chaos Communication Congress am Samstag in Hamburg mehrere Verfahren vorgestellt, mit denen Fingerabdrucksensoren sowie Gesichts- oder Iriserkennung ausgetrickst werden können. "Der Iris-Scan ist kaputt", sagte Krissler und demonstrierte dies anhand von Aufnahmen mit Bundeskanzlerin Angela Merkel (CDU). Über die neue Methode, mit Hilfe von Fotos Fingerabdrücke zu erstellen, war bereits zuvor berichtet worden.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. State Street Bank International GmbH, München

In seinem Vortrag zeigte Krissler zunächst, wie sich mittels Smartphone-Kameras beispielsweise Passwörter oder Pins ermitteln lassen, die zum Entsperren von Smartphones notwendig sind. Dabei werden Fotos ausgewertet, die sogar mit der Frontkamera, die gerne für Selbstporträts genutzt wird, aufgenommen wurden. Einige dieser Frontkameras sind mittlerweile genauso gut wie die Hauptkamera des Telefons. Durch die Reflexionen auf der Hornhaut oder einer Brille lassen sich die Fingerpositionen bei der Eingabe von einfachen Zugangsdaten ermitteln, die auf die vereinfachten Tastaturen setzen. Dazu gehören rein numerische Eingaben. Dafür sei die Auflösung moderner Frontkameras mittlerweile ausreichend, da nur wenige Pixel pro Zahl ausreichten, um die Daten herauszufinden. Es brauche zwar einige wenige Versuche, da das Verfahren nicht perfekt sei, aber in der Regel erlauben Smartphones die Mehrfacheingabe von Passwörtern.

Zuvor muss es Hackern natürlich gelungen sein, Zugriff auf die Kamerafunktion des Handys zu erhalten. Das sei aber nicht schwierig, da Anwender mittlerweile daran gewöhnt seien, dass zahlreiche Apps ohne erkennbaren Grund Zugriff auf die Kamera verlangen, so dass Anwender diese dennoch installieren. Angreifer können das mangelnde Sicherheitsbewusstsein der Nutzer ausnutzen. Krissler verwies zudem auf eine Studie der University of North Carolina, die bereits auf der CCS 2013 in Berlin einen solchen Keylogger vorgestellt hatte. Dabei waren die Reflexionen auf Brillen und Toastern ausgewertet worden, um Passwörter abzulesen.

Iris-Erkennung mit Wahlplakaten erstellen

Aufnahmen mit einer normalen Kamera sind laut Krissler auch ausreichend, um Verfahren zur Iriserkennung zu überlisten. Hierzu reicht eine Iris-Aufnahme von 75 Pixeln aus, die mit Spiegelreflexkameras noch mit dem Abstand von mehreren Metern erzielt werden kann. Krissler zeigte dazu ein Foto von Merkel, das auf einer Pressekonferenz mit einem Teleobjektiv aufgenommen worden war. Selbst Wahlplakate lieferten eine ausreichend hohe Auflösung, um für diese Zwecke genutzt zu werden, berichtet er. Um die Irisscanner auszutricksen, müssten die Fotos allerdings mit einer Druckerauflösung von 1.200 dpi ausgedruckt werden. Bei 600 dpi gebe es Schwierigkeiten bei der Erkennung.

Krissler räumte ein, dass es bei dunkelfarbiger Iris nicht so einfach sei, aus größerer Entfernung die Iris gut zu erfassen. Allerdings ließen sich in diesem Fall mit Hilfe von Infrarotkameras gute Ergebnisse erzielen. Die Lesegeräte böten allerdings keine Sicherheit. Er kenne kein Iris-System, dass sich nicht austricksen lasse. Das gelte auch für Geräte zur Grenzsicherung.

Erschreckend einfach lasse sich auch eine Gesichtserkennung ausschalten, die auf "Lebenderkennung" setzt. So reichte es in der Demonstration aus, ein Foto des Gesichts vor die Kamera zu halten und dann einen dünnen Bleistift von oben nach unten über das Bild zu führen. Damit wurde der Blinzeleffekt simuliert, der offenbar für eine Lebenderkennung ausreicht.

Der Venenscanner wird als Nächstes erforscht

Eine der noch wenigen nicht geknackten Biometrietechniken ist der Venenscanner, der schon lange zum Einsatz kommt. Fujitsu baut sie mittlerweile in Notebooks ein. Diese im Vergleich zu Fingerabdrucksensoren sehr hygienische Methode eignet sich vor allem für Bereiche, bei denen sich viele Personen authentifizieren müssen und bei denen Iris-Scanner oder Fingerabdrucksensoren nicht ausreichen. Anwender authentifizieren sich dabei mit Hilfe eines Venenabbilds in der Hand. Ein Venenscanner analysiert die Handinnenfläche, die über dem Gerät schwebt und erkennt so die eindeutige Venenstruktur mit. Dieses Abbild lässt sich im Unterschied zu einer Iris, einem Gesicht oder einem Fingerabdruck nicht einfach abfotografieren.

Doch Starbug arbeitet schon daran, die lange unbeachtete Biometrietechnik auszutricksen. Wer eine Venenscanner-Installation einsetzt, kann sich möglicherweise nicht mehr lange sicher fühlen: Starbug hat bereits erste Experimente durchgeführt und konnte zumindest gute und hochauflösene Abbilder erzeugen, wie er berichtete. Dazu verwendete er ebenfalls Infrarotkameras. Eine Überlistung dieser Biometriescanner steht aber noch aus.



Meistgelesen

Anzeige
Hardware-Angebote
  1. und 20€ Steam-Guthaben geschenkt bekommen
  2. (reduzierte Überstände, Restposten & Co.)
  3. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  4. täglich neue Deals bei Alternate.de

plutoniumsulfat 29. Dez 2014

da gibt's noch so einige andere Benutzer ;)

plutoniumsulfat 29. Dez 2014

klappt nur nicht, wenn es offline ist.

der kleine boss 29. Dez 2014

??? Ich sehe jeden Tag Rektalöffnungen auf Wahlplakaten.

plutoniumsulfat 29. Dez 2014

Übers Internet entfällt eben der Vorteil vom Internet ;)


Folgen Sie uns
       


Sonos Beam im Hands on

Beam ist Sonos' erste smarte Soundbar und läuft mit Amazons Alexa. Im Zusammenspiel mit einem Fire-TV-Gerät kann dieses bequem mit Beam mit der Stimme bedient werden. Die Beam-Soundbar von Sonos kostet 450 Euro und soll am 17. Juli 2018 erscheinen.

Sonos Beam im Hands on Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Bargeldloses Zahlen: Warum Apple Pay sich hier noch nicht auszahlt
Bargeldloses Zahlen
Warum Apple Pay sich hier noch nicht auszahlt

Während Google Pay jüngst hierzulande gestartet ist, lässt Apple Pay auf sich warten. Kein Wunder: Der deutsche Markt ist schwierig - und die Banken sind in einer guten Verhandlungsposition.
Eine Analyse von Andreas Maisch

  1. Bargeldloses Zahlen Apple und Goldman Sachs planen Apple-Kreditkarte

    •  /