Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Android-System: Forscher kopieren Fingerabdrücke von Smartphones

Smartphone mit Fingerabdrucksensor: Zu schlecht geschützt, sagen Experten Zur Großansicht
Matthias Kremp

Smartphone mit Fingerabdrucksensor: Zu schlecht geschützt, sagen Experten

Kaum hat Google monatliche Sicherheitsupdates für das Android-Betriebssystem angekündigt, melden Experten neue Schwachstellen beim Fingerabdruck-Scanner. Apple dagegen sei "recht sicher".

Auf der IT-Sicherheitskonferenz "Black Hat" in Las Vegas haben Forscher vor Gefahren durch den Einsatz von Fingerabdruck-Scannern gewarnt. Insbesondere die in Android-Smartphones und -Tablets verwendeten Techniken seien nicht hinreichend gegen Angriffe geschützt. Bei mehreren Geräten, unter anderem einem HTC One Max und Samsungs Galaxy S5, sei es ihnen gelungen, Fingerabdrücke der Nutzer zu kopieren.

Wie die Forscher Yulong Shang und Tao Wei von der IT-Sicherheitsfirma Fireye erklären, ist diese Bedrohung viel gefährlicher als etwa der Diebstahl von Passwörtern. Schließlich kann man ein Passwort, das einem Hacker in die Hände gefallen ist, zurücksetzen und ändern. Fingerabdrücke hingegen sind ein unveränderliches Merkmal, das man sein Leben lang mit sich herumträgt.

Und eines, das man immer wieder und immer häufiger braucht. So werden Fingerabdrücke beispielsweise bei der Einreise in manche Länder - etwa die USA - als Identifikationsmerkmal herangezogen. Zudem werden sie auf Smartphones nicht nur benutzt, um das Mobiltelefon zu entsperren, sondern auch, um Zahlungen zu autorisieren. "Solange sein Opfer lebt, kann der Angreifer dessen Fingerabdruckdaten benutzen, um damit üble Dinge zu tun", sagt Zhang.

Apple ist "recht sicher"

Die Gefahr entstehe, weil die Daten der Fingerabdrucksensoren auf den Geräten nicht ausreichend gesichert seien. Beim HTC One Max beispielsweise lägen die Daten unverschlüsselt im Speicher und könnten von jeder App ausgelesen werden.

iPhone mit Fingerabdruck-Scanner: Daten durch Verschlüsselung geschützt Zur Großansicht
AFP

iPhone mit Fingerabdruck-Scanner: Daten durch Verschlüsselung geschützt

Einen Sicherheitsvorteil spricht Zhang Apples iPhones und iPads zu. Verglichen mit Android-Smartphones sei Apples Fingerabdruck-Scanner "recht sicher", sagte Zhang gegenüber dem Technikportal "ZDnet". Der Grund: Apple verschlüsselt die Fingerabdruckdaten direkt nach der Erfassung. "Selbst wenn ein Angreifer Zugriff auf den Fingerabdrucksensor hat, kann er kein Abbild des Fingerabdrucks erstellen, solange er nicht den Schlüssel hat, mit dem dieser gesichert ist."

Lieber nicht das System manipulieren

Die Forscher warnen, die von ihnen aufgezeigten Bedrohungen seien nicht auf Smartphones und Tablets beschränkt. Beispielsweise würden viele Laptops mit Fingerabdrucksensoren geliefert, die nach demselben Prinzip funktionierten.

Anwendern raten die Experten, Geräte von Herstellern zu verwenden, die schnell und regelmäßig Updates, beispielsweise auf Android 5.0 Lollipop, bereitstellen. Zudem solle man bei der Auswahl von Apps populäre Programme bevorzugen und diese nur aus vertrauenswürdigen Quellen beziehen.

Grundsätzlich raten sie davon ab, sogenannte Jailbreaks zu verwenden oder ein Smartphone zu rooten. Beide Techniken sind bei Enthusiasten beliebt, weil sie auf diese Weise mehr Kontrolle über ihr Gerät bekommen. Doch die Forscher warnen: Wenn man ein Gerät auf diese Weise öffne, setze man es "unbekannten Gefahren aus."

Warten auf Android M

Für Panik gibt es trotz der eindringlichen Warnungen derzeit aber wohl keinen Grund. Den Forschern zufolge haben alle Hersteller Patches für ihre Fingerabdrucksensoren veröffentlicht, nachdem sie über die Schwachstellen informiert worden waren.

Abzuwarten bleibt, wie Google auf den Bericht reagiert. Für die nächste Android-Version, Arbeitstitel "Android M", hat der Konzern angekündigt, die Fingerabdruckerkennung direkt im System zu verankern. Dieser Schritt dürfte dazu führen, dass weit mehr Geräte als bisher mit entsprechenden Sensoren ausgerüstet werden.

Ab 2019, so das Marktforschungsunternehmen IHS, werde jedes zweite Smartphone - das sind Hunderte Millionen - damit bestückt. Grund genug, dafür zu sorgen, dass diese Geräte persönliche biometrische Daten auch wirklich für sich behalten. Oder sicherheitshalber einfach auf die Funktion zu verzichten - und lieber ein gutes Passwort zu wählen.

Gefahr durch Android-Sicherheitslücke Stagefright

mak

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 51 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
M. Michaelis 07.08.2015
Android wird mehr und mehr das XP der Smartphones.
2. Bio-Sicherheit?
Online-Joker 07.08.2015
Ich bin zwar kein Experte, aber was nützt mir eine Verschlüsselung wenn sie zu spät kommt? Wer dir Fingerabdrücke jetzt schon ausgelesen hat, dem ist doch die Verschlüsselung egal, oder? Freut er sich nicht sogar über eine Verschlüsselung, weil er durch den Vergleich den Schlüssel auch für neue Fingerabdrücke bekommt? Wie gesagt, kein Experte..,
3. der Hype
Fackus 07.08.2015
um "Sicherheits-Gefahren in der IT" nimmt langsam bizarre Züge an. Erinnert mich an die Hysterie vor dem Hallyschen Kometen von 100 Jahren. Bin gespannt, wann der erste von der Brücke springt vor lauter Angst, erhätte ein falsches Update installiert ...
4. Das kommt daher, dass Andoid eben fuer eine Vielzahl
hdudeck 07.08.2015
Zitat von M. MichaelisAndroid wird mehr und mehr das XP der Smartphones.
von verschiedener Hardware erstellt wurde und jeder Smartphone Hersteller und oft genug auch noch die Netz-Betreiber ihr eigenes Sueppchen kochen. Da gibt es eben diese "Luecken". Apple hat es da eben leichter als Hersteller beider Komponenten. Ihr Vergleich stimmt daher recht gut. Probleme sind Quality Management, Kostendruck, schlechte Programmierer, unwillige Programmierer, Zeitdruck und wer weiss was sonst noch. Gibt es eine Loesung - Nein, denn Windows ist hier als Beispiel herranzuziehen. Ach, fast vergessen - NSA als zusaetzliche Problemstelle.
5.
Zaunsfeld 07.08.2015
Zitat von Fackusum "Sicherheits-Gefahren in der IT" nimmt langsam bizarre Züge an. Erinnert mich an die Hysterie vor dem Hallyschen Kometen von 100 Jahren. Bin gespannt, wann der erste von der Brücke springt vor lauter Angst, erhätte ein falsches Update installiert ...
Tja, so reden Leute, die von IT und deren Sicherheit NULL Ahnung haben. Vielleicht werden Sie ja anders reagieren, wenn die ersten W...-Videos von Ihrer Webcam im Internet auftauchen? Wer weiß?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: