Sicherheitsforscher trickst Iris-Erkennung aus

Quelle

Gerade erst hat Samsung sein neues Flaggschiff-Handy Galaxy S8 vorgestellt, da gelingt es einem Hacker vom Chaos Computer Club bereits, die Iris-Erkennung zu überlisten. Das ging offenbar verblüffend leicht.

 

Der Iris-Scanner in Samsungs Galaxy S8 ist offenbar recht einfach zu knacken. Das legt zumindest ein Bericht des Chaos Computer Clubs (CCC) nah. So schafften es die IT-Experten mithilfe eines ausgedruckten Fotos und einer handelsüblichen Kontaktlinse, die Technik auszutricksen.

Besonders ausgeprägte Hackerfähigkeiten waren dafür offenbar nicht nötig, wie ein kurzes Video zeigt. Darin lässt der Sicherheitsforscher und Biometrie-Experte Jan Krissler (auch bekannt als “starbug”) aus mittlerer Distanz ein Foto von seinem Auge machen – im Nachtmodus einer Kamera.

Das druckte er aus, legte eine Kontaktlinse auf den Ausdruck – und hielt es vor die Handykamera. Die schlichte Attrappe reichte aus, um das Telefon zu entsperren. Auf seiner Webseite zum Galaxy S8 bewirbt Samsung die Iris-Erkennung dagegen als “eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen”.

Fotostrecke

Auf Anfrage erklärte Samsung nun, der Fall sei bekannt. Der im Galaxy S8 genutzt Iris-Scanner werde rigorosen Tests unterzogen und verhindere Überlistungsvorgänge mit Fotos einer menschlichen Iris. Sollte es sich beim beschriebenen Fall um eine Sicherheitslücke handeln, wolle man so schnell wie möglich reagieren.

Nutzer sollten besser auf PIN-Code setzen

Der IT-Sicherheitsexperte zeigt nicht zum ersten Mal, dass biometrische Sicherungssysteme recht einfach überwunden werden können. Bereits vor einigen Jahren hatte Krissler vorgeführt, dass sich Apples Fingerabdruck-Sperre TouchID mittels nachgedruckter Fingerabdrücke entsperren lässt. Dafür reichte auch bereits ein Foto vom Finger aus der Ferne – gezeigt hatte es der Forscher an einem Foto von Ursula von der Leyen.

Der Chaos Computer Club nutzte die Gelegenheit, noch einmal eindringlich vor der Nutzung biometrischer Systeme als Passwort-Ersatz zu warnen. “Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,” so CCC-Sprecher Dirk Engling.

Samsung plane die Integration der Iris-Erkennung in sein Bezahlsystem “Samsung Pay”. Diese ermögliche es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen.

Quelle