Gastkommentar: Warum ich die TouchID (erneut) geknackt habe und sie trotzdem großartig finde

Als im letzten Jahr das iPhone 5S herauskam, habe ich demonstriert, auf welche raffinierte Weise man den neuen TouchID-Fingerabdrucksensor überlisten kann. Ein Jahr und ein iPhone 6 später habe ich es wieder getan. [...]

Als das iPhone 6 auf den Markt kam, wollte ich als erstes herausfinden, ob es Änderungen am TouchID-Sensor gegeben hatte oder nicht. Ich habe nicht unbedingt erwartet, dass der TouchID-Sensor nun völlig sicher sein würde, mir aber zumindest gewisse Verbesserungen erhofft. Also machte ich mich daran, einige gefälschte Fingerabdrücke zu erstellen. Dabei ging ich genauso vor wie damals, als ich die TouchID auf dem 5S geknackt hatte. Mit den fertigen Fingerabdrücken führte ich Tests auf beiden Geräten durch.

Die Ergebnisse meiner Tests sind in folgendem Video zu sehen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Leider hat es zwischen den beiden Geräten kaum messbare Verbesserungen am Sensor gegeben. Die mit dem früheren Verfahren erstellten Fälschungen konnten beide Geräte problemlos täuschen.

Außerdem gibt es keine zusätzlichen Einstellungen, mit denen Nutzer die Sicherheit erhöhen können. Beispielsweise fehlt ein Timeout für die TouchID mit obligatorischer Eingabe eines Zahlenkennworts nach Ablauf der Zeit. Die größte Veränderung scheint darin zu bestehen, dass der Sensor viel empfindlicher zu schein scheint, was auf eine Scannerkomponente mit höherer Auflösung zurückzuführen ist. Woher weiß ich das? Bei meinen Tests fiel mir auf, dass mit dem iPhone 6 die Falsch-Negativ-Rate deutlich geringer war. Die Falsch-Negativ-Rate beschreibt das Ablehnen eines richtigen Fingerabdrucks durch das Gerät. Das liegt aller Wahrscheinlichkeit nach aber auch daran, dass das iPhone 6 wohl einen viel größeren Bereich des Fingerabdrucks scannt, um die Zuverlässigkeit zu verbessern.

Ein weiteres Zeichen dafür, dass der Sensor womöglich verbessert wurde, ist, dass „verdächtige“ – noch immer falsche Fingerabdrücke – die das iPhone 5S täuschen konnten, beim iPhone 6 nicht funktionierten. Um das iPhone 6 hinters Licht zu führen, muss der nachgemachte Fingerabdruck einige Besonderheiten aufweisen:  Er muss deutlich komplexer und detaillierter sein. Die Proportionierung sowie Positionierung müssen ebenfalls stimmen. Zusätzlich sollte der Abdruck dick genug sein, damit der echte Fingerabdruck nicht durchkommt und stattdessen erkannt wird. Das sind zwar für einen Forscher im Labor keine unüberwindlichen Hindernisse, aber sie machen es Kriminellen bestimmt schwerer, einfach einen Fingerabdruck von der glänzenden iPhone-Oberfläche abzunehmen und das Gerät zu entsperren.

FAZIT
Genau wie beim Vorgängermodell, dem iPhone 5S, kann der TouchID-Sensor des iPhone 6 geknackt werden. Davon geht jedoch die Welt nicht unter. So ein Angriff erfordert Know-how, Geduld und eine wirklich gute Kopie des Fingerabdrucks. Ein alter, verschmierter Abdruck funktioniert nicht. Die Verarbeitung dieses Abdrucks in eine funktionierende Kopie ist außerdem ein ziemlich komplexes Verfahren, so dass es mit großer Wahrscheinlichkeit nur dann eine Gefahr darstellt, wenn ein raffinierter Angreifer gezielt vorgeht. Ich bediene mich auch hier meiner Analogie aus meinem letzten Blogbeitrag zur TouchID: Die Schlösser an unseren Türen, mit denen wir Verbrecher abhalten, benutzen wir nicht, weil sie perfekt sind, sondern weil sie sowohl praktisch als auch wirksam genug sind, um den meisten herkömmlichen Gefahren zu begegnen.

Dass Apple den TouchID-Sensor ein wenig optimiert hat, ist ein Zeichen dafür, dass man an der Verbesserung des Merkmals arbeitet. Allerdings zielen die Veränderungen hauptsächlich auf eine höhere Benutzerfreundlichkeit ab. Nach heutigem Stand ist die TouchID ein wirkungsvoller Sicherheitsmechanismus, der für seinen primären Zweck, nämlich die Entsperrung des iPhone, mehr als ausreichend ist.

* Marc Rogers ist ehemaliger Hacker und Principal Security Researcher bei Lookout.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*