Samsung Galaxy S8 Sicherheitsforscher trickst Iris-Erkennung aus

Gerade erst hat Samsung sein neues Flaggschiff-Handy Galaxy S8 vorgestellt, da gelingt es einem Hacker vom Chaos Computer Club bereits, die Iris-Erkennung zu überlisten. Das ging offenbar verblüffend leicht.

Samsung Galaxy S8 und S8 Plus (links)
AP

Samsung Galaxy S8 und S8 Plus (links)


Der Iris-Scanner in Samsungs Galaxy S8 ist offenbar recht einfach zu knacken. Das legt zumindest ein Bericht des Chaos Computer Clubs (CCC) nah. So schafften es die IT-Experten mithilfe eines ausgedruckten Fotos und einer handelsüblichen Kontaktlinse, die Technik auszutricksen.

Besonders ausgeprägte Hackerfähigkeiten waren dafür offenbar nicht nötig, wie ein kurzes Video zeigt. Darin lässt der Sicherheitsforscher und Biometrie-Experte Jan Krissler (auch bekannt als "starbug") aus mittlerer Distanz ein Foto von seinem Auge machen - im Nachtmodus einer Kamera.

Das druckte er aus, legte eine Kontaktlinse auf den Ausdruck - und hielt es vor die Handykamera. Die schlichte Attrappe reichte aus, um das Telefon zu entsperren. Auf seiner Webseite zum Galaxy S8 bewirbt Samsung die Iris-Erkennung dagegen als "eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen".

Fotostrecke

23  Bilder
Samsungs neues Top-Modell: Das ist das Galaxy S8

Auf Anfrage erklärte Samsung nun, der Fall sei bekannt. Der im Galaxy S8 genutzt Iris-Scanner werde rigorosen Tests unterzogen und verhindere Überlistungsvorgänge mit Fotos einer menschlichen Iris. Sollte es sich beim beschriebenen Fall um eine Sicherheitslücke handeln, wolle man so schnell wie möglich reagieren.

Nutzer sollten besser auf PIN-Code setzen

Der IT-Sicherheitsexperte zeigt nicht zum ersten Mal, dass biometrische Sicherungssysteme recht einfach überwunden werden können. Bereits vor einigen Jahren hatte Krissler vorgeführt, dass sich Apples Fingerabdruck-Sperre TouchID mittels nachgedruckter Fingerabdrücke entsperren lässt. Dafür reichte auch bereits ein Foto vom Finger aus der Ferne - gezeigt hatte es der Forscher an einem Foto von Ursula von der Leyen.

Der Chaos Computer Club nutzte die Gelegenheit, noch einmal eindringlich vor der Nutzung biometrischer Systeme als Passwort-Ersatz zu warnen. "Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück," so CCC-Sprecher Dirk Engling.

Samsung plane die Integration der Iris-Erkennung in sein Bezahlsystem "Samsung Pay". Diese ermögliche es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen.

juh/dpa



insgesamt 26 Beiträge
Alle Kommentare öffnen
Seite 1
Jérôme1F 23.05.2017
1. Ccc
Gut, dass es den Chaos Computer Club gibt. Die Produzenten sind ja offensichtlich entweder nicht in der Lage oder nicht Willens eigen Stresstests durchzuführen. Das Ganze erinnert an die Abschalteinrichtungen der Autoindustrie.
mwroer 23.05.2017
2.
Ich bin ja eher Realist - wenn jemandem die Daten aus einem fremdem Mobiltelefon soviel wert sind dass er ein Photo der Iris macht und mit Kontaktlinsen rumalbert dann kann man davon ausgehen dass er die PIN auch einfach aus dem Opfer rausprügelt. Ich sehe die Sicherheitsvorkehrungen an Mobiltelefonen als Schutz gegen Verlust und ggfls. komplett eifersüchtige Partner. Wenn ich früher meine Brieftasche verloren habe, hat der CCC auch nicht bemängelt das man sie einfach aufklappen konnte - man kann solche Sachen auch gepflegt übertreiben.
misterknowitall2 23.05.2017
3. das zeigt wieder mal.......
dass man diese Dinger nicht sicher kann. auf jeden Fall nicht gegen Profis. lasst keine sensiblen Daten auf dem ding. fertig. alles andere ist fahrlässig.
sven2016 23.05.2017
4.
Spannend! Wirklich wichtige Daten gaben auf dem Smartphone nichts zu suchen. Bezahlvorgänge sollte man auch nicht von da ausführen, lieber vom Notebook mit eTAN auf das Handy. Dann ist es etwas besser geschützt. PIN ist auch nur begrenzt sicher, aber damit muss man dann leben. Ab und zu ist der Zettel in der Hemdtasche sicherer als dieHandynotiz
shardan 23.05.2017
5. Auch bei teuren "Flaggschiffen"...
Auch bei teuren "Flaggschiffen" sind das keine so tollen Sensoren. Die Hersteller verbauen hier keine Sensoren, die auch nur ansatzweise mit professionellen oder gar militärischen Sicherheitssystemen mithalten könnten. Dann könnte man ja die (große) Gewinnspanne an den Geräten nicht halten. Was da an Fingerabdrucksensoren oder Irisscannern eingebaut wird, ist in aller Regel untere bis unterste Konsumentenschiene - und so sicher sind die auch.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.