• IT-Karriere:
  • Services:

Sicherheitssysteme gehackt: Passwörter ausspähen mit der Selfie-Kamera

Fingerabdrucksensoren und Iris-Erkennungen lassen sich austricksen: CCC-Hacker Starbug hat dafür einfache Werkzeuge gezeigt und einen Ausblick gegeben, welche bisher unerforschte Biometrietechnik er als Nächstes aushebeln will.

Artikel veröffentlicht am , /
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen.
Einige Frontkameras sind gut genug, um über die Augenreflexionen Passwörter zu erkennen. (Bild: Sony)

Zahlreiche biometrische Verfahren lassen sich offenbar leicht durch technische Methoden überwinden. Der Hacker Jan Krissler alias Starbug hat auf dem 31. Chaos Communication Congress am Samstag in Hamburg mehrere Verfahren vorgestellt, mit denen Fingerabdrucksensoren sowie Gesichts- oder Iriserkennung ausgetrickst werden können. "Der Iris-Scan ist kaputt", sagte Krissler und demonstrierte dies anhand von Aufnahmen mit Bundeskanzlerin Angela Merkel (CDU). Über die neue Methode, mit Hilfe von Fotos Fingerabdrücke zu erstellen, war bereits zuvor berichtet worden.

Stellenmarkt
  1. Wissenschaftsstadt Darmstadt, Darmstadt
  2. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

In seinem Vortrag zeigte Krissler zunächst, wie sich mittels Smartphone-Kameras beispielsweise Passwörter oder Pins ermitteln lassen, die zum Entsperren von Smartphones notwendig sind. Dabei werden Fotos ausgewertet, die sogar mit der Frontkamera, die gerne für Selbstporträts genutzt wird, aufgenommen wurden. Einige dieser Frontkameras sind mittlerweile genauso gut wie die Hauptkamera des Telefons. Durch die Reflexionen auf der Hornhaut oder einer Brille lassen sich die Fingerpositionen bei der Eingabe von einfachen Zugangsdaten ermitteln, die auf die vereinfachten Tastaturen setzen. Dazu gehören rein numerische Eingaben. Dafür sei die Auflösung moderner Frontkameras mittlerweile ausreichend, da nur wenige Pixel pro Zahl ausreichten, um die Daten herauszufinden. Es brauche zwar einige wenige Versuche, da das Verfahren nicht perfekt sei, aber in der Regel erlauben Smartphones die Mehrfacheingabe von Passwörtern.

Zuvor muss es Hackern natürlich gelungen sein, Zugriff auf die Kamerafunktion des Handys zu erhalten. Das sei aber nicht schwierig, da Anwender mittlerweile daran gewöhnt seien, dass zahlreiche Apps ohne erkennbaren Grund Zugriff auf die Kamera verlangen, so dass Anwender diese dennoch installieren. Angreifer können das mangelnde Sicherheitsbewusstsein der Nutzer ausnutzen. Krissler verwies zudem auf eine Studie der University of North Carolina, die bereits auf der CCS 2013 in Berlin einen solchen Keylogger vorgestellt hatte. Dabei waren die Reflexionen auf Brillen und Toastern ausgewertet worden, um Passwörter abzulesen.

Iris-Erkennung mit Wahlplakaten erstellen

Aufnahmen mit einer normalen Kamera sind laut Krissler auch ausreichend, um Verfahren zur Iriserkennung zu überlisten. Hierzu reicht eine Iris-Aufnahme von 75 Pixeln aus, die mit Spiegelreflexkameras noch mit dem Abstand von mehreren Metern erzielt werden kann. Krissler zeigte dazu ein Foto von Merkel, das auf einer Pressekonferenz mit einem Teleobjektiv aufgenommen worden war. Selbst Wahlplakate lieferten eine ausreichend hohe Auflösung, um für diese Zwecke genutzt zu werden, berichtet er. Um die Irisscanner auszutricksen, müssten die Fotos allerdings mit einer Druckerauflösung von 1.200 dpi ausgedruckt werden. Bei 600 dpi gebe es Schwierigkeiten bei der Erkennung.

Krissler räumte ein, dass es bei dunkelfarbiger Iris nicht so einfach sei, aus größerer Entfernung die Iris gut zu erfassen. Allerdings ließen sich in diesem Fall mit Hilfe von Infrarotkameras gute Ergebnisse erzielen. Die Lesegeräte böten allerdings keine Sicherheit. Er kenne kein Iris-System, dass sich nicht austricksen lasse. Das gelte auch für Geräte zur Grenzsicherung.

Erschreckend einfach lasse sich auch eine Gesichtserkennung ausschalten, die auf "Lebenderkennung" setzt. So reichte es in der Demonstration aus, ein Foto des Gesichts vor die Kamera zu halten und dann einen dünnen Bleistift von oben nach unten über das Bild zu führen. Damit wurde der Blinzeleffekt simuliert, der offenbar für eine Lebenderkennung ausreicht.

Der Venenscanner wird als Nächstes erforscht

Eine der noch wenigen nicht geknackten Biometrietechniken ist der Venenscanner, der schon lange zum Einsatz kommt. Fujitsu baut sie mittlerweile in Notebooks ein. Diese im Vergleich zu Fingerabdrucksensoren sehr hygienische Methode eignet sich vor allem für Bereiche, bei denen sich viele Personen authentifizieren müssen und bei denen Iris-Scanner oder Fingerabdrucksensoren nicht ausreichen. Anwender authentifizieren sich dabei mit Hilfe eines Venenabbilds in der Hand. Ein Venenscanner analysiert die Handinnenfläche, die über dem Gerät schwebt und erkennt so die eindeutige Venenstruktur mit. Dieses Abbild lässt sich im Unterschied zu einer Iris, einem Gesicht oder einem Fingerabdruck nicht einfach abfotografieren.

Doch Starbug arbeitet schon daran, die lange unbeachtete Biometrietechnik auszutricksen. Wer eine Venenscanner-Installation einsetzt, kann sich möglicherweise nicht mehr lange sicher fühlen: Starbug hat bereits erste Experimente durchgeführt und konnte zumindest gute und hochauflösene Abbilder erzeugen, wie er berichtete. Dazu verwendete er ebenfalls Infrarotkameras. Eine Überlistung dieser Biometriescanner steht aber noch aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Alien 1 - 6 Collection inkl. Alien-Ei für 126,99€, Ash vs. Evil Dead 1 - 2 + Figur für...
  2. (u. a. Stronghold Crusader 2 für 2,99€, WoW Gamecard Prepaid 30 Tage für 12,49€, FIFA 20 PC...
  3. 299,00€ (Bestpreis!)

plutoniumsulfat 29. Dez 2014

da gibt's noch so einige andere Benutzer ;)

plutoniumsulfat 29. Dez 2014

klappt nur nicht, wenn es offline ist.

der kleine boss 29. Dez 2014

??? Ich sehe jeden Tag Rektalöffnungen auf Wahlplakaten.

plutoniumsulfat 29. Dez 2014

Übers Internet entfällt eben der Vorteil vom Internet ;)


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

    •  /