Fingerabdruck-Scanner: iPhone-Attrappe überlistet auch Samsungs S5
Der Security-Experte und Kopf hinter der Sicherheitsfirma SRLabs, Ben Schlabs, entwickelte seine Fingerabdruck-Attrappe eigentlich für einen Angriff auf Apples TouchID-Sensor.
Jetzt hat der Gummifinger auch den im Samsung S5 verbauten Scanner überlistet. Schlabs, dies berichtet Heise Security in einer lesenswerten Bestandsaufnahme des Falls, konnte mit seinem Nachbau sogar Geld überweisen.
Das neue Samsung Flaggschiff scheint vor allem Probleme mit der Implementierung zusätzlicher Sicherheitsmechanismen zu haben, die etwa beim iPhone dafür sorgen, dass sich iOS im Zweifelsfall nicht allein auf den Fingerabdruck-Scanner verlässt, sondern auch das Passwort anfordert. Samsung ist hier nachlässiger:
Zwar erscheint auch beim S5 nach zu vielen Fehlversuchen eine Aufforderung den Passcode einzugeben. Doch einmal dunkel schalten und wieder Aktivieren genügt für einen neuen Versuch mit dem (Dummy-)Finger. Darüber hinaus fragt das S5 den Passcode selbst nach einem Neustart nicht ab; das heißt, die Sicherheit des Smartphones und aller darauf gespeicherten Daten hängt einzig und allein am Fingerabdruck. Wer ihn nachahmen kann, hat den vollen Zugriff auf das Gerät und alle dort gespeicherten Daten. Das ist beim iPhone anders.
Die koreanischen Smartphone-Bauer verlassen sich offensichtlich komplett auf den Fingerabdruck ihrer Nutzer laufen so in die Falle:
(Direkt-Link)
wen überrascht’s?
Es überrascht schon etwas. Samsung setzt schließlich den Scanner für viel mehr sicherheitsrelevante Dinge ein. Also gab es die Vermutung, dass Samsung es vielleicht geschafft hätte den Scanner sicherer zu gestalten, auch wenn es komplizierter zu bedienen ist. Nun ist klar, dass es einfach nur eine schlechte Kopie von TouchID ist.
Und wen soll das jetzt Überraschen???
Das, dass galaxy nicht denkt Klar regt man sich über spwas auf das man manchmal den code eingeben muss aber ist mit viel mehr sicherheit verbunden vorallem kann ich mein iphone via sms ausschalten dank jailbreak und somit ist der code aktiviert :)
@dodooh
Was?
omg .. selten so einen wirren Text gelesen. Keine Ahnung, was uns Dodoooh sagen möchte.
Deshalb sind die Dodos ausgestorben
Hahaha…. ich schmeiß mich weg xD
LMAO
Dodos sind ausgestorben. Jetzt weiß man weshalb. ;)
Wow da hab ich mich mal wieser selbst übertroffen :) Kommt davon wenn man die Nachtschicht hat und trozdem wieder am Nachmittag arbeiten muss.. Hier den übersetzen Text vom Dodojanisch ins Deutsche: Ist doch klar das das Galaxy nicht denkt und einfach alles vereinfacht das sich der Endbenutzer nicht mehr gedanken machen muss wie zB. Nach einem neustart das Passwort eingeben zu müssen das macht das iPhone genau aus solchen Gründenrichtig. Stelle man sich folgendes szenario vor ich verliere mein iPhone und jemand findet es der schaltet es ab (das man es nicht orten kann etc.) und sucht nach Fingerabdrücken auf dem Display oder wo auch immer dann schaltet er es an mit dem nachgebauten Fingerabdruck und kann das iphone zumindest nicht öffnen wegen passcode das galaxy hingegen schon… Vorallem kann man so das iPhone auch über iCloud oder via Jailbreak sperren das genau dieses Szenario eintrifft und der Finger nichts bringt. Ioa das wollte ich so in etwa sagen im halb schlaf ;)
Und nun wieder zur arbeit :/
Das ist nur unwesentlich verständlicher. Ich glaube beim dritten lesen hatte ich es dann. Nicht böse gemeint, aber versuche es mal bitte mit mehr Satzzeichen und lies dir deinen Text noch einmal durch, bevor du auf senden drückst. Passiert mir auch oft, dass ich dabei EINIGE Fehler finde.
eine iphone-attrappe ist (wenigstens für mich) was anderes als eine fingeroberflächen(?)-attrappe.
Exakt. Fingerattrappe muß es heißen.
Schon lustig. Bei Apple war das „ja auch unverhältnismäßig hoch im Aufwand“ und bei samsung ist wieder alles klar: Da srbeiten Amateure die nur halbgare Features raushauen
Das interpretierst Du so rein… Fakt ist aber, dass TouchID zumindest die besseren Sicherheitsvorkehrungen hinterlegt hat. Wenn der Fingerabdruck nach 5 Versuchen nicht erkannt wurde, ist beim zumindest Schluss mit rumprobieren. Nach einem Neustart ist erstmal garnichts mit Fingerdruck. Da sollte Samsung wirklich noch nachkopieren, äh nacharbeiten. ;)
Man hat sogar nur 3 Versuche.
Rummaulen weil Touch ID nicht sicher war, jetzt ist Samsung noch unsicherer ;)
Der Vergleich hilft Schwachstellen aufzuzeigen. Schade dass Samsung nicht den Scan nach fehlgeschlagenem Versuch sperrt. Das macht apple besser. Bin schon auf erste Verschlüsselungs-Geschichten gespannt!
Es ist ein Samsung S5, nicht 5s.
Typische Bildzeitung-Überschrift mit Halbwahrheiten und Leuteverarsche. Habt Ihr das echt nötig, damit Eure Artikel gelesen werden?
iPhone-Attrappe?!? Sehr irreführende Überschrift!
das ist doch mal innovativ!
:-))))
Warum ist das unsicher?!?
Der Fingerabdruck des Plastikfingers ist doch nicht derselbe wie der eines potenziellen Besitzers? Also kann man damit nicht ein Handy eines anderen, das z.B. rumliegt, entsperren!
Also bringt der ganze Aufwand doch nix!
Selbstverständlich wurde dafür der originale Fingerabdruck auf die Attrappe übertragen. Herr, lass Hirn regnen. ^_^
Ach ja? Und was soll der ganze Aufwand dann? Nur, damit man einen „zweiten Finger” für denselben Abdruck hat?
Ach, bist du ein Indianer aus der boston tea party?
.
(Falls du dies nicht nachvollziehen kannst: Das ist eine metaphorische Frage zur einfachen Frage „Spielst du einen Apple-Fanboy, der angeblich blöd ist?“)
:fry
Ja, falls Du Deinen Originalfinger mal grad nicht zur Hand hast, oder nicht mehr findest oder so. Dann ist das Dein Backup. Ist doch praktisch. Oder wenn man den Originalfinger schon möchte, damit er sich nicht so schnell abnutzt. Da gibt es viele Use Cases.
schon möchte –> schonen möchte