Android-System Forscher kopieren Fingerabdrücke von Smartphones

Kaum hat Google monatliche Sicherheitsupdates für das Android-Betriebssystem angekündigt, melden Experten neue Schwachstellen beim Fingerabdruck-Scanner. Apple dagegen sei "recht sicher".
Smartphone mit Fingerabdrucksensor: Zu schlecht geschützt, sagen Experten

Smartphone mit Fingerabdrucksensor: Zu schlecht geschützt, sagen Experten

Foto: Matthias Kremp

Auf der IT-Sicherheitskonferenz "Black Hat" in Las Vegas haben Forscher vor Gefahren durch den Einsatz von Fingerabdruck-Scannern  gewarnt. Insbesondere die in Android-Smartphones und -Tablets verwendeten Techniken seien nicht hinreichend gegen Angriffe geschützt. Bei mehreren Geräten, unter anderem einem HTC One Max und Samsungs Galaxy S5, sei es ihnen gelungen, Fingerabdrücke der Nutzer zu kopieren.

Wie die Forscher Yulong Shang und Tao Wei von der IT-Sicherheitsfirma Fireye erklären, ist diese Bedrohung viel gefährlicher als etwa der Diebstahl von Passwörtern. Schließlich kann man ein Passwort, das einem Hacker in die Hände gefallen ist, zurücksetzen und ändern. Fingerabdrücke hingegen sind ein unveränderliches Merkmal, das man sein Leben lang mit sich herumträgt.

Und eines, das man immer wieder und immer häufiger braucht. So werden Fingerabdrücke beispielsweise bei der Einreise in manche Länder - etwa die USA - als Identifikationsmerkmal herangezogen. Zudem werden sie auf Smartphones nicht nur benutzt, um das Mobiltelefon zu entsperren, sondern auch, um Zahlungen zu autorisieren. "Solange sein Opfer lebt, kann der Angreifer dessen Fingerabdruckdaten benutzen, um damit üble Dinge zu tun", sagt Zhang.

Apple ist "recht sicher"

Die Gefahr entstehe, weil die Daten der Fingerabdrucksensoren auf den Geräten nicht ausreichend gesichert seien. Beim HTC One Max beispielsweise lägen die Daten unverschlüsselt im Speicher und könnten von jeder App ausgelesen werden.

iPhone mit Fingerabdruck-Scanner: Daten durch Verschlüsselung geschützt

iPhone mit Fingerabdruck-Scanner: Daten durch Verschlüsselung geschützt

Foto: GLENN CHAPMAN/ AFP

Einen Sicherheitsvorteil spricht Zhang Apples iPhones und iPads zu. Verglichen mit Android-Smartphones sei Apples Fingerabdruck-Scanner "recht sicher", sagte Zhang gegenüber dem Technikportal "ZDnet ". Der Grund: Apple verschlüsselt die Fingerabdruckdaten direkt nach der Erfassung. "Selbst wenn ein Angreifer Zugriff auf den Fingerabdrucksensor hat, kann er kein Abbild des Fingerabdrucks erstellen, solange er nicht den Schlüssel hat, mit dem dieser gesichert ist."

Lieber nicht das System manipulieren

Die Forscher warnen, die von ihnen aufgezeigten Bedrohungen seien nicht auf Smartphones und Tablets beschränkt. Beispielsweise würden viele Laptops mit Fingerabdrucksensoren geliefert, die nach demselben Prinzip funktionierten.

Anwendern raten die Experten, Geräte von Herstellern zu verwenden, die schnell und regelmäßig Updates, beispielsweise auf Android 5.0 Lollipop, bereitstellen. Zudem solle man bei der Auswahl von Apps populäre Programme bevorzugen und diese nur aus vertrauenswürdigen Quellen beziehen.

Grundsätzlich raten sie davon ab, sogenannte Jailbreaks zu verwenden oder ein Smartphone zu rooten. Beide Techniken sind bei Enthusiasten beliebt, weil sie auf diese Weise mehr Kontrolle über ihr Gerät bekommen. Doch die Forscher warnen: Wenn man ein Gerät auf diese Weise öffne, setze man es "unbekannten Gefahren aus."

Warten auf Android M

Für Panik gibt es trotz der eindringlichen Warnungen derzeit aber wohl keinen Grund. Den Forschern zufolge haben alle Hersteller Patches für ihre Fingerabdrucksensoren veröffentlicht, nachdem sie über die Schwachstellen informiert worden waren.

Abzuwarten bleibt, wie Google auf den Bericht reagiert. Für die nächste Android-Version, Arbeitstitel "Android M", hat der Konzern angekündigt, die Fingerabdruckerkennung direkt im System zu verankern. Dieser Schritt dürfte dazu führen, dass weit mehr Geräte als bisher mit entsprechenden Sensoren ausgerüstet werden.

Ab 2019, so das Marktforschungsunternehmen IHS, werde jedes zweite Smartphone - das sind Hunderte Millionen - damit bestückt. Grund genug, dafür zu sorgen, dass diese Geräte persönliche biometrische Daten auch wirklich für sich behalten. Oder sicherheitshalber einfach auf die Funktion zu verzichten - und lieber ein gutes Passwort zu wählen.

mak
Die Wiedergabe wurde unterbrochen.