iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Chaos Computer Club:

Iris-Scanner des Samsung Galaxy S8 mit Foto überlistet

Artikel auf Mastodon teilen.
40 Kommentare 40

Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten. Dieser Meinung ist zumindest der Chaos Computer Club und belegt die Aussage auch gleich in der Praxis. Die Hackertruppe hat das im Samsung Galaxy S8 verbaute Authentifizierungssystem mithilfe einer selbstgebastelten Attrappe überlistet.

Samsung verbaut ein Erkennungssystem des Herstellers Firma Princeton Identity und verspricht eine sichere Authentifizierung anhand der Iris. Dies soll aufgrund des einzigartigen Musters der Regenbogenhaut der menschlichen Iris gewährleistet sein. In der Praxis sieht es dann allerdings anders aus, die Kamera des Smartphones hob die Zugangssperre auf, nachdem sie zuvor eine Augenattrappe „gescannt“ hat.

Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück. (Dirk Engling, Sprecher des CCC)

Die CCC-Hacker hatten im Jahr 2013 auch Apples Touch-ID kurz nach deren Markteinführung mit einem Foto überlistet. Allerdings sei das Risiko des Missbrauchs bei der Iris größer als bei Fingerabdrücken, da man dieses biometrische Merkmal wesentlich exponierter zur Schau stelle. Unter Umständen genüge bereits ein hoch aufgelöstes Bild aus dem Internet, um Zugang zu einem durch Iriserkennung gesicherten System zu erhalten.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
23. Mai 2017 um 12:05 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    40 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Naja, aber der Leihe kommt trotzdem nicht so einfach dran. Auch nicht mit Touch ID

  • Das wird niemals funktionieren. Sei die Auflösung noch so groß. Es gibt immer genauso groß auflösende Kameras. Und zusätzliche Systeme wie Pulsmesser beim Fingerabdruck und Augen-PupillenVergrößerungsbewegungen. Alles ist statisch und daher alles nachahmbar.
    Mein Tipp: Einfach vergessen. Biometrische Daten sind nicht dazu da es sich in Punkto Authentifizierung bequemer zu machen.
    Und in der *Hälfte* aller Häuser wo Fingerabdruckschlösser installiert sind, sind noch die Admin-Abdrücke der Handwerker drin gespeichert.

  • TouchID zu überlisten war aber wesentlich aufwändiger als das hier.

  • Aber die S8-User haben doch nichts zu verbergen, nicht wahr? ;)

  • Gut, das war zu erwarten. Der CCC zeigt mal wieder das Komfort und Sicherheit nicht vereinbar sind. Biometrische Daten können höchstens als zweiter Faktor zur Authentifizierung genutzt werden. Ein gutes Passwort sollte immer Pflicht sein.

  • Interessant wäre zu wissen, wie sich die Iris-Erkennung vom Surface im Vergleich dazu schlägt…

  • Was sagt eigentlich Samsung dazu: „Die Muster in Ihrer Iris sind ein einzigartiges persönliches Merkmal, das SO GUT WIE fälschungssicher ist. Deshalb ist die Iriserkennung eine DER sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu SCHÜTZEN.“ (Hervorhebung von mir)

  • Wie ist das denn bei Samsung implementiert? Meine Tuch-ID-Devices wollen nach jedem Neustart und von Zeit zu Zeit (ich habe da kein Muster erkannt) mein Kennwort wissen. Ist das bei Samsungs Iris-Scan auch so? Bei Microsofts Hello reicht die Kamera oder der Fingerabdrucksensor bis zum Sankt-Nimmerleins-Tag. Falls sie funktionieren.

    Das ist eine ernst gemeinte Frage.

  • „verspricht eine sichere Authentifizierung anhand der Iris.“
    Das stimmt nicht. Samsung hat mehrfach betont, dass es sich nicht um ein sicheres Authentifizierungssystem handelt. Noch nicht.

  • Jeder Mensch muss sich entscheiden, wie wichtig und sensibel die Daten auf seinem Smartphone sind und was ihm der Komfort wert ist.
    Ich habe früher kein Kennwort für mein iPhone genutzt. Jetzt nutze ich Touch ID, obwohl ich weiß, dass das unsicher ist. Wer betreibt den Aufwand, um sich den Inhalt meines Handys anzusehen?

  • Ist TouchID wirklich genauso unsicher? Ernst gemeinte Frage.

    • TouchID wurde mit einem abfotografierten (und entsprechend aufbereiteten) Fingerabdruck überlistet. Und das trotz Apples angeblichen Tiefenscan. Der Aufwand mag vielleicht etwas höher sein als bei Gesichts- oder Iris-Scan, wirklich sicher ist es aber nicht.

    • Das dürfte bald sehr schwierig werden: leider bestimmt die träge Käufermasse die Standards – und diese begünstigen die Ausbreitung von android im Privatleben (wo auch sonst): Fernseher, amazon-Spionageartikel – wie Firestick und Echo, Autos etc…

  • Trotzdem sollte man sich mal überlegen, wie vor Smartphone-zeiten der Pass, EC-Karte Adressen usw. geschützt waren: In der Jacken oder Hosentasche, und wenn das Dings mal weg war gab es kein „Pass suchen“ oder Fernlöschen. Was trotzdem nicht geht, dass die Hersteller einem vorgaukeln, man hätte da einen Hochsicherheitstresor im Miniformat.

  • Leute beruhigt Euch mal wieder.
    Wer hat schon ein Foto vom Besitzer des geklauten Telefons?
    Nichts ist absolut sicher und der Aufwand ist immer enorm.
    Dazu kommt dann die weitere Identifizierung beim öffnen von z.B. 1Password.
    Entweder ich schließe mich zuhause ein oder gehe ein absolut kleines Risiko ein.

  • Am besten finde ich immer die Ausdrucksweise „Kinderleicht“ und „kann jeder“. Jeder Depp läuft rum und behauptet nun „Ey, jeder kann dein Handy hacken!“. Ich leg dem dann mein iPhone hin und sag: Hast 1 Minute, mach mal. Und nix passiert, außer ein blöder Gesichtsausdruck.

    Ja, alles kann man irgendwie „kinderleicht“ austricksen. Fahrradschlösser lassen sich innerhalb von Sekunden aufknipsen und Autoschlüssel Abfotografieren … alles setzt ein Stück weit in Unachtsamkeit des Besitzers voraus.

    • Möchtest du uns sagen dass der User Schuld ist wenn er auf das Sicherheits-Versprechen eines Herstellers vertraut hat? So nach dem Motto: Also unsere Produkte sind super sicher aber du als User hast nicht richtig aufgepasst? Oder möchtest du dir einfach nur einreden dass da schon nichts schiefgehen wird? Wie schreibt Fefe gerne: Hätte uns doch nur jemand vorher gewarnt.

      • Nein, möchte er nicht. Lies dir seinen Kommentar doch nochmal durch bevor du hier rumtrollst!

  • Hat der CCC eigentlich schonmal getestet, wieviele Passwörter/PINs man abgreifen kann, wenn man den Leuten einfach über die Schulter schaut? Z. B. in der Straßenbahn oder anderen öffentlichen Orten wo Menschen dich beisammen sind. Ich hätte mir schon viele Codes merken und anschließend das Smartphone klauen können.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven