Der Chaos Computer Club (CCC) ist immer dann zur Stelle, wenn es um Hacken, Technik oder Fragen der Security geht. Auch beim iPhone 5S hat es den Club auf den Plan gerufen, denn hier kommt schließlich die neue Touch ID zum Einsatz. Wie nun bekannt wurde, ist es dem Hacker starbug gelungen, die Touch ID, also den Fingerabdrucksensor, des iPhone 5S zu überlisten.
Um den Fingerabdrucksensor des neuen iPhone 5S zu überlisten, braucht es derzeit nicht allzu viel Zeug. Hacker starbug vom Chaos Computer Club hatte hierzu den originalen Fingerabdruck von einer Glasoberfläche mit 2.400 dpi abfotografiert. Anschließend hat er in am Computer bereinigt, invertiert und auf Transparenzfolie mit 1.200 dpi mittels Laserdrucker aufgedruckt.
„In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake“, said the hacker with the nickname Starbug, who performed the critical experiments that led to the successful circumvention of the fingerprint locking.
„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, erklärte starbug.
Experten warnen vor Nutzung von Fingerabdrücken
Danach hat er auf das ausgedruckte Bild eine hautfarbene Latexmilch oder weißen Holzleim gekippt. Als dieser ausgetrocknet war, konnte man das Material entnehmen und hatte einen künstlichen Fingerabdruck, der nun nur noch angehaucht werden muss, damit er funktioniert.
„As we have said now for more than years, fingerprints should not be used to secure anything. You leave them everywhere, and it is far too easy to make fake fingers out of lifted prints.“
„Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen“, führte der Hacker weiter aus. „Es ist einfach eine dumme Idee etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt.“
Experten raten daher, dass man lieber auf das alte Passwort setzen solle, als auf den Fingerabdruck. Dies unter anderem auch deswegen, weil so im Falle einer Entführung das Passwort deutlich schwerer aus einem herausgeholt werden kann, als der Fingerabdruck. Hier reicht nämlich bereits das zwanghafte Hinhalten der Hand.
Erkenntnis des CCC sollte nicht überbewertet werden
Nichtsdestotrotz sei angemerkt, dass die Überlistung der Touch ID durch den Chaos Computer Club keine Meisterleistung war. Zudem hat Apple nie behauptet, dass der Fingerabdrucksensor nicht zu überlisten sei. Dieser sei lediglich sicherer als das Passwort, betrachtet man beide Methoden unter normalen Umständen. Welche man selber einsetzt, muss man für sich entscheiden.
Diese Aussagen sind völlig paranoid. Kein normaler Mensch macht sich die Arbeit und bastelt sich einen künstlichen Fingerabdruck mit solchen Aufwand. Für normale Nutzer des iPhones ist daher das Sicherheitslevel angemessen.
Viel Schlimmer wäre es, wenn Touch ID per Software / Trojaner ausgehebelt werden kann!