Technik

Mit Foto und Laser-Drucker Iris-Scanner des Galaxy S8 geknackt

samsung-galaxy-note-7-22.jpg

Eingeführt mit dem Galaxy Note 7: Samsungs Iris-Scanner soll besonders sicher sein.

(Foto: jwa)

Samsungs Galaxy S8 hat einen Iris-Scanner, der besonders sicher sein soll. Der Chaos Computer Club zeigt nun aber, wie man ihn überlisten kann. Es ist erschreckend einfach.

Wenn es darum geht, ein Smartphone sicher zu machen und möglichst gut vor unerlaubtem Zugriff zu schützen, gelten Fingerabdruck-Scanner als gute Lösung, denn sie kombinieren Bequemlichkeit mit relativ hoher Sicherheit. Samsungs Galaxy S8 hat, wie zuvor schon das Galaxy Note 7, neben dem Finger-Scanner auch einen Iris-Scanner an Bord, der mindestens genauso sicher sein soll. Stimmt das? Unüberwindbar ist er zumindest nicht. Das zeigt jetzt der Chaos Computer Club (CCC).

Auf der Website der Hacker-Vereinigung heißt es: "Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten." Beweis für diese Behauptung ist ein Video des CCC, das zeigt, "wie einfach" man den Iris-Scanner des S8 überwinden kann. Und das, obwohl Hersteller Princeton Identity Inc. verspreche, dass das Telefon seinen individuellen Besitzer anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen könne, schreibt der CCC.

Amüsant einfach

Im Video reicht Biometrie-Hacker "starbug" schon ein Foto seiner aufmerksam geöffneten Augen, das mit einer gewöhnlichen Digitalkamera im Infrarot-Modus (Nachtmodus) aus großer Nähe aufgenommen wurde. Den vergrößerten Ausschnitt eines Auges druckt er aus, legt eine Kontaktlinse auf die Iris, "damit das echter aussieht" und der Scanner die vorgetäuschte Wölbung des Auges erkennt, und hält den Ausdruck samt Linse vor den Iris-Scanner. Es klappt, der Scanner springt auf die Attrappe an und gibt das Smartphone frei.  

Allzu große Sorgen müssen sich S8-Besitzer, die den Iris-Scanner nutzen, zwar nicht machen, denn spontane Diebe können nicht ohne weiteres eine geeignete Attrappe anfertigen. Doch im einfachsten Fall reiche schon ein hochaufgelöstes Bild aus dem Internet, um den Sensor zu überlisten, sagt Dirk Engling, Sprecher des CCC. Man müsse, je nach Aufnahme, nur Helligkeit und Kontrast anpassen, sodass alle Strukturen gut erkennbar seien. Dann könne man das Bild mit einem handelsüblichen Drucker ausdrucken. 

Leichtes Spiel für Biometrie-Diebe?

Biometrie-Diebe könnten auch mit einer herkömmlichen Spiegelreflexkamera zu Werke gehen und mit einem 200-Millimeter-Objektiv ein Foto aus bis zu fünf Meter Entfernung aufnehmen. Dieses Szenario ist aber eher unwahrscheinlich, denn eine 200-mm-Linse an einer Spiegelreflexkamera ist groß und auffällig, die Opfer müssten zudem direkt in die Kamera schauen und ruhig bleiben.

Trotzdem mahnt Dirk Engling: "Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück."

[Update 24.05] Samsung reagiert

Samsung hat US-Medien eine Stellungnahme geschickt. Man versichere den Kunden, dass der Iris-Scanner streng getestet worden sei, unter anderem auch, um nicht mit Fotos überlistet werden zu können, heißt es darin. Falls eine mögliche Sicherheitslücke oder eine Methode zur Umgehung des Sicherheitsmechanismus bekannt werde, reagiere man so schnell wie möglich, um das Problem aus der Welt zu schaffen.

Quelle: n-tv.de, jwa

Mehr zum Thema