Apple iPhone 6: Touch-ID-Sensors lässt sich laut Test immer noch überlisten

Lookout hat in einem Test herausgefunden, dass sich der TouchID-Sensors des Apple iPhone 6 wie beim iPhone 5S mittels eines nachgemachten Fingerabdrucks austricksen lässt. Auch wenn das Verfahren alles andere als einfach ist, könnte Apple Pay das Interesse von Hackern an Sicherheitslücken in Touch ID steigern.

Beim neuen iPhone 6 hat Apple den Touch-ID-Sensor offenbar nicht weiter in Sachen Sicherheit verbessert. Er lässt sich einem Blogbeitrag von Lookout Mobile Security zufolge auch noch beim neuen Apple-Smartphone mit Hilfe eines nachgemachten Fingerabdrucks austricksen. Den Fingerabdruckscanner des Apple iPhone 5S konnten im letzten Jahr neben Lookout auch Mitglieder des Chaos Computer Clubs (CCC) mittels eines ausgedruckten Fingerabdrucks überlisten.

plutus-1473-024

Lookout hat in einem Test herausgefunden, dass sich der TouchID-Sensors des Apple iPhone 6 wie beim iPhone 5S mittels eines nachgemachten Fingerabdrucks austricksen lässt. Auch wenn das Verfahren alles andere als einfach ist, könnte Apple Pay das Interesse von Hackern an Sicherheitslücken in Touch ID steigern (Bild: CNET.com).

Wie Mac Rogers,Chief Security Researcher bei Lookout, unseren Kollegen von CNET.com in einem Gespräch mitteilte, müssen sich iPhone-6-Besitzer aber nicht sofort sorgen machen. Allerdings gäbe es bestimmte Fehler, die im Lauf der Zeit zu Problemen führen können. Um den TouchID-Sensor des iPhone 6 zu knacken, ging Rogers genauso vor wie damals beim iPhone 5S. Er wendete eine Technik an, die Tsutomu Matsumoto 2002 in einem Paper veröffentlichte.

Sein Urteil lautet wie folgt: “Leider gibt es beim Sensor zwischen beiden Geräten keine messbare Verbesserung. Falsche Fingerabdrücke waren ohne Weiteres in der Lage, beide Geräte zu täuschen.”

Ganz so einfach, wie es klingt, ist es aber natürlich nicht. Das Herstellen eines nachgemachten Fingerabdrucks ist ein langwieriger und kostspieliger Prozess, da dafür teures Equipment wie eine hochauflösende Kamera und eine Laser-Drucker benötigt werden.

Rogers erwartet jedoch, dass Apple Pay das Interesse von Hackern an Sicherheitslücken in Touch ID steigern wird. Beim iPhone 6 ist der Fingerabdruckscanner einer der Eckpunkte für die Sicherheit des Apple-Bezahldiensts Pay. Das System nutzt den NFC-Chip des iPhone 6 sowie eine Software zur Verwaltung von Kreditkartendaten, damit Verbraucher statt mit ihrer Kreditkarte mit ihrem iPhone bezahlen können. Touch ID wird dabei benötigt, um Käufe mit Apple Pay zu autorisieren. Der Bezahldienst soll im Oktober in den USA starten.

“Wenn das iPhone zu einer riesigen Kreditkarte wird, werden Hacker wer weiß was unternehmen, damit es funktioniert.” Er sei aber trotzdem Fan des biometrischen Sicherheitssystems, da es Erfahrung, Geduld und eine wirklich gute Kopie eines Fingerabdrucks brauche, um es zu überlisten. Trotzdem zeigte er sich enttäuscht, dass Apple das System, das von seiner Tochter Authentec stammt, nicht verbessert habe.

“Authentec hatte Scanner, die in der Lage waren, tiefer in den Finger einzudringen, sodass sie einen falschen Fingerabdruck erkennen konnten. Ich hätte gerne gesehen, dass sie das implementieren”, ergänzte Rogers. Obwohl es Apples Ziel sei, sein Bezahlsystem so einfach wie möglich zu gestalten, um es für Verbraucher attraktiv zu machen, sei es besser, es mit einer weiteren Authentifizierung wie PIN, Passwort oder Muster zu schützen, da es Zugriff auf Kreditkartendaten habe.

Neben Lookout hat auch Security Research Labs die Sicherheit von Touch ID geprüft. In einem Video zeigt das deutsche Sicherheitsunternehmen, wie sich der biometrische Sensor eines iPhone 6 mit einem vorgefertigten Fingerabdruck austricksen lässt. Es warnt wie Rogers, dass gerade die Einführung von Apple Pay Touch ID zu einem interessanten Ziel für Hacker mache.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Weitere Links zum Thema:

 

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

3 Kommentare zu Apple iPhone 6: Touch-ID-Sensors lässt sich laut Test immer noch überlisten

  • Am 24. September 2014 um 19:27 von Karpfenfänger

    Was will der Verfasser uns damit sagen? Zurück zur alten Kreditkarte oder gar Bargeld? Der Hacker müsste erst einmal wissen, mit welchem Finger das Handy entsperrt wird. Dann braucht er den dynamisch erzeugten Token, der zu jedem Bezahlvorgang neu erzeugt wird. Gegenüber anderen mobile Payments ist Apple Pay mit Sicherheit das beste und kundenfreundlichste Verfahren. Besser jedenfalls als an der Kasse unter den Augen von zig Leuten eine vierstellige PIN einzugeben und die Kassiererin sagen zu hören: „Viele Dank Herr X. für Ihren Einkauf!“. Denn dieses Verfahren ist – gemessen an den hier dargestellten hohen Hürden für Datensicherheit – gar nicht sicher, wird aber als sicher von Allen stillschweigend akzeptiert. Außer natürlich vom CCC, die alle mit Bargeld bezahlen oder fremden Kreditkarten, um die eigene Identität zu verschleiern.

  • Am 25. September 2014 um 12:54 von Wolfgang Klein

    Mich würde mal interessieren, ob es Unternehmen gibt, die iPhones einsetzen und die dort installierten Schutzmechanismen wie den Fingerabdrucksensor verwenden. Für einfache Sicherheitsvorkehrungen müsste er ausreichend genug sein, denke ich.
    Siehe die Diskussion hier:
    http://ibmexperts.computerwoche.de/forum/mobile-enterprise/iphone-schutzmechanismen-verwenden

  • Am 30. September 2014 um 21:17 von Bonsu Alex Osei

    Bitte ich brauche die Touch ID

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *