Chaos Computer Club:
Iris-Scanner des Samsung Galaxy S8 mit Foto überlistet
Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten. Dieser Meinung ist zumindest der Chaos Computer Club und belegt die Aussage auch gleich in der Praxis. Die Hackertruppe hat das im Samsung Galaxy S8 verbaute Authentifizierungssystem mithilfe einer selbstgebastelten Attrappe überlistet.
Samsung verbaut ein Erkennungssystem des Herstellers Firma Princeton Identity und verspricht eine sichere Authentifizierung anhand der Iris. Dies soll aufgrund des einzigartigen Musters der Regenbogenhaut der menschlichen Iris gewährleistet sein. In der Praxis sieht es dann allerdings anders aus, die Kamera des Smartphones hob die Zugangssperre auf, nachdem sie zuvor eine Augenattrappe „gescannt“ hat.
Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück. (Dirk Engling, Sprecher des CCC)
Die CCC-Hacker hatten im Jahr 2013 auch Apples Touch-ID kurz nach deren Markteinführung mit einem Foto überlistet. Allerdings sei das Risiko des Missbrauchs bei der Iris größer als bei Fingerabdrücken, da man dieses biometrische Merkmal wesentlich exponierter zur Schau stelle. Unter Umständen genüge bereits ein hoch aufgelöstes Bild aus dem Internet, um Zugang zu einem durch Iriserkennung gesicherten System zu erhalten.
Somit ist der Drops gelutscht :D
…und der Käse geschnitten :D
… und die Messe ist gelesen!
Du darfst das nicht so eng sehen..
Wenn die Leute Sicherheit haben, dann sind ihre Daten wichtig, wenn die Sicherheit weg ist, haben sie keine wichtigen Daten mehr (siehe whatsapp)..
So wird das auch beim S8 laufen
Naja, aber der Leihe kommt trotzdem nicht so einfach dran. Auch nicht mit Touch ID
Du kannst es dir natürlich auch einfach schön reden. Wenn du nur 3 bis 5 Jahre in die Zukunft denkst dann wird dein Smartphone bald deine gesamte digitale Identität sein. Ob du so fahrlässig mit deinem Pass, Personalausweis, Geldkarte, Passwörter, Smart Home, Gesundheitsdaten und was weiß ich nicht alles umgehen willst ist natürlich dir überlassen.
Laie.
Das wird niemals funktionieren. Sei die Auflösung noch so groß. Es gibt immer genauso groß auflösende Kameras. Und zusätzliche Systeme wie Pulsmesser beim Fingerabdruck und Augen-PupillenVergrößerungsbewegungen. Alles ist statisch und daher alles nachahmbar.
Mein Tipp: Einfach vergessen. Biometrische Daten sind nicht dazu da es sich in Punkto Authentifizierung bequemer zu machen.
Und in der *Hälfte* aller Häuser wo Fingerabdruckschlösser installiert sind, sind noch die Admin-Abdrücke der Handwerker drin gespeichert.
TouchID zu überlisten war aber wesentlich aufwändiger als das hier.
Aber die S8-User haben doch nichts zu verbergen, nicht wahr? ;)
Gut, das war zu erwarten. Der CCC zeigt mal wieder das Komfort und Sicherheit nicht vereinbar sind. Biometrische Daten können höchstens als zweiter Faktor zur Authentifizierung genutzt werden. Ein gutes Passwort sollte immer Pflicht sein.
wobei der zweite Faktor (Auge) schon nicht mehr nützt.
Da hast du Recht. Ich ziehe meine Aussage zurück und sage dass Biometrische Merkmale nicht geeignet sind um überhaupt irgendetwas abzusichern.
@Sebo069 thank you!
Interessant wäre zu wissen, wie sich die Iris-Erkennung vom Surface im Vergleich dazu schlägt…
Was sagt eigentlich Samsung dazu: „Die Muster in Ihrer Iris sind ein einzigartiges persönliches Merkmal, das SO GUT WIE fälschungssicher ist. Deshalb ist die Iriserkennung eine DER sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu SCHÜTZEN.“ (Hervorhebung von mir)
Eben Müll die Samsung Dinger
Diese tollen Kommentare.
Wer baut denn z.B. die Displays von unseren iPhones??
Bisher ausnahmslos LG. Ebenso im MacBook & iMac.
Wie ist das denn bei Samsung implementiert? Meine Tuch-ID-Devices wollen nach jedem Neustart und von Zeit zu Zeit (ich habe da kein Muster erkannt) mein Kennwort wissen. Ist das bei Samsungs Iris-Scan auch so? Bei Microsofts Hello reicht die Kamera oder der Fingerabdrucksensor bis zum Sankt-Nimmerleins-Tag. Falls sie funktionieren.
Das ist eine ernst gemeinte Frage.
Touch, nicht Tuch.
„verspricht eine sichere Authentifizierung anhand der Iris.“
Das stimmt nicht. Samsung hat mehrfach betont, dass es sich nicht um ein sicheres Authentifizierungssystem handelt. Noch nicht.
Tut mir leid da täuscht du dich: „Die Muster in Ihrer Iris sind ein einzigartiges persönliches Merkmal, das so gut wie fälschungssicher ist. Deshalb ist die Iriserkennung eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen.“
http://www.samsung.com/de/smar...../security/
Samsung eben….
Patrick84 eben…
Jeder Mensch muss sich entscheiden, wie wichtig und sensibel die Daten auf seinem Smartphone sind und was ihm der Komfort wert ist.
Ich habe früher kein Kennwort für mein iPhone genutzt. Jetzt nutze ich Touch ID, obwohl ich weiß, dass das unsicher ist. Wer betreibt den Aufwand, um sich den Inhalt meines Handys anzusehen?
Ist TouchID wirklich genauso unsicher? Ernst gemeinte Frage.
TouchID wurde mit einem abfotografierten (und entsprechend aufbereiteten) Fingerabdruck überlistet. Und das trotz Apples angeblichen Tiefenscan. Der Aufwand mag vielleicht etwas höher sein als bei Gesichts- oder Iris-Scan, wirklich sicher ist es aber nicht.
Es kommt mir kein Android bzw. Samsung ins Haus! Fertig
Das dürfte bald sehr schwierig werden: leider bestimmt die träge Käufermasse die Standards – und diese begünstigen die Ausbreitung von android im Privatleben (wo auch sonst): Fernseher, amazon-Spionageartikel – wie Firestick und Echo, Autos etc…
Samsung… noch Fragen?!
Trotzdem sollte man sich mal überlegen, wie vor Smartphone-zeiten der Pass, EC-Karte Adressen usw. geschützt waren: In der Jacken oder Hosentasche, und wenn das Dings mal weg war gab es kein „Pass suchen“ oder Fernlöschen. Was trotzdem nicht geht, dass die Hersteller einem vorgaukeln, man hätte da einen Hochsicherheitstresor im Miniformat.
Leute beruhigt Euch mal wieder.
Wer hat schon ein Foto vom Besitzer des geklauten Telefons?
Nichts ist absolut sicher und der Aufwand ist immer enorm.
Dazu kommt dann die weitere Identifizierung beim öffnen von z.B. 1Password.
Entweder ich schließe mich zuhause ein oder gehe ein absolut kleines Risiko ein.
Total enorm der Aufwand. Nicht! Außerdem solltest du noch hinzufügen, dass du doch sowieso nichts zu verbergen hast und nur Terroristen sichere Smartphones brauchen.
Am besten finde ich immer die Ausdrucksweise „Kinderleicht“ und „kann jeder“. Jeder Depp läuft rum und behauptet nun „Ey, jeder kann dein Handy hacken!“. Ich leg dem dann mein iPhone hin und sag: Hast 1 Minute, mach mal. Und nix passiert, außer ein blöder Gesichtsausdruck.
Ja, alles kann man irgendwie „kinderleicht“ austricksen. Fahrradschlösser lassen sich innerhalb von Sekunden aufknipsen und Autoschlüssel Abfotografieren … alles setzt ein Stück weit in Unachtsamkeit des Besitzers voraus.
Möchtest du uns sagen dass der User Schuld ist wenn er auf das Sicherheits-Versprechen eines Herstellers vertraut hat? So nach dem Motto: Also unsere Produkte sind super sicher aber du als User hast nicht richtig aufgepasst? Oder möchtest du dir einfach nur einreden dass da schon nichts schiefgehen wird? Wie schreibt Fefe gerne: Hätte uns doch nur jemand vorher gewarnt.
Nein, möchte er nicht. Lies dir seinen Kommentar doch nochmal durch bevor du hier rumtrollst!
Blödsinn alles mies zu reden
Iris Scanner auf 12 Meter Entfernung im öffentlichen Raum (Stadt, Bahnhof ect.).
https://www.google.de/amp/www.spiegel.de/netzwelt/web/kameraueberwachung-wird-zur-verhaltenskontrolle-a-1135744-amp.html
So einfach ist das….
Hat der CCC eigentlich schonmal getestet, wieviele Passwörter/PINs man abgreifen kann, wenn man den Leuten einfach über die Schulter schaut? Z. B. in der Straßenbahn oder anderen öffentlichen Orten wo Menschen dich beisammen sind. Ich hätte mir schon viele Codes merken und anschließend das Smartphone klauen können.