Android: Fingerabdrücke sind in großem Stil und von Außen auslesbar

Auf Hacker-Kongressen scheinen die Sicherheits-Probleme von Googles Android-Plattform langsam zum Standardprogramm zu werden. Auf der anstehenden Black Hat wird es so beispielsweise einen Vortrag darüber geben, wie Angreifer von außen ... mehr... Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Russiancouncil.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also DAMIT konnte ja wohl niemand...... oh moment, doch.. konnte man
 
Was ist bei Android eigentlich nicht unsicher und nicht auslesbar?
 
@L_M_A_O: Fußabdruck
 
@Driv3r: kommt drauf an .... wenn du den über den fingerprintreader einspeicherst ... sicher wäre ich mir da nicht. Manche nasenabdrücke lassen sich bestimmt auch schon auslesen :-)
 
@L_M_A_O: Glied(maßen)länge.
 
Fingerabdrücke und sicher. Das ist eine Grundsatzfrage. Niemand benutzt ausschließlich Fingerabdrücke als Sicherheitsschlüssel. Also niemand, der auch einen Hauch von Sicherheit versteht.
 
@blume666: Also allein das nutzen eines Smartphone ist sicherheitstechnisch gesehen ein Desaster.
 
@Menschenhasser: Wenn du allein in Not bist, siehst du das vielleicht anders. ^^ Es kommt also immer auf den Blickwinkel drauf an. ;)
 
@daaaani: Da hilft ein normales "altmodisches" Handy genauso, vor allem weil die Dinger nicht immer im unpassendsten Moment leer sind ;)
 
Wer hätte das erwartet, dass die von vielen auf die schnelle zusammengebastelte Lösung, nur um Apple gleichzuziehen, nicht ganz so durchdacht war? Wird vermutlich mit Android M jetzt besser aber das hier war erwartbar.
 
@ger_brian: Wenn aber nur ein paar Prozent der Android Nutzer überhaupt Android M bekommen, macht das ganze natürlich viel Sinn^^ Das ganze Sicherheitskonzept von Android ist einfach nur unsicher und das die meisten Sicherheitslücken nur mit einer neuen Android Version geschlossen werden ist einfach nur ein No-Go...
 
@ger_brian: Das verwirrende ist auch, dass damals auf Apple alle rumgeprügelt haben, als die mit dem Feature ankamen und es für unsicher hielten. Und damals sehr technisch diskutiert wurde, ob es sicher ist oder nicht. Was musste Apple damals dafür alles einstecken und was haben die Leute für Untergangszenarien an die Wand gemalt.

Und was ist heute, 2 Jahre später: Der einzige Angriffsvektor ist bislang dort jedoch nur, dass man den Fingerabdruck "fälschen" kann, aber einen Fingerabdruck bzw seinen Hash rekonstruieren ist niemand gelungen. Man kann also, wenn man den Finger hat, einen Abdruck basteln, mit dem man das Gerät entsperrt. Aber man kann nicht vom Entsperrschlüssel her auf den Finger schließen. Das Systeme wurde tatsächlich sehr sicher durch Apple konstruiert und hält bislang stand.

Ach, und irgendwann kam dann auch Android mit dem Fingerscanner um die Ecke. Hat keinen mehr interessiert. Technisch wurde nix hinterfragt. Bei Apple wars ja sicher. Also wird es bei Android auch schon klappen. Ja, so endet es dann. Apple hat bislang alles richtig gemacht, und wurde dafür verprügelt. Google hat es schlecht nachgebaut und keinen hat es interessiert.
 
@LoD14: Die meisten Gegner und Skeptiker haben das Prinzip beim iPhone nicht verstanden und die anderen haben nicht gemerkt, dass Google mit Android einen anderen , offenbar weniger sicheren Weg gegangen ist.
 
@LoD14: Richtig erfasst, apple hat von anfang an gesagt, das diese Abdruck nur lokal auf dem gerät in einem seperaten Bereich abgespeichert nie hochgeladen oder einer app erlaubt wird diesen bereich auszulesen. Vorallem die Applehater haben damals gelästert. 2 Jahre später ist Apples lösung immer noch sicher und es gibt nicht einen erfolgreichen angriff ausserhalb eines labors mit ultrahd fotos zum nachbauen.
 
Und mich haben sie damals alle für verrückt gehalten und nieder gemacht, als ich gesagt habe, das man das bald können wird... Ist ja nicht so, das man sich/anderen damit viel besser das ganze Leben versauen kann als mit irgendwelchen PINs oder Passwörtern.
 
Ich werde nie begreifen können, wie man von sich eindeutige biometrische Daten zur Authentifizierung auf dem Smartphone nutzen kann. Naja, was solls unter meinen Freunden gelte ich sowieso schon als Skeptiker und Alu-Hut träger weil ich auch kein Facebook nutze und gegen die VDS bin.
 
@chris899: Was für Bekannte kennst du denn, die für VDS sind?
 
@Knarzi81: Leider ziemlich viele. Resistent gegen Argumente und im festen Glaube das der Staat nur unser Bestes will und es nur die wirklich "bösen" Buben betrifft.
Im Studium erlebe ich nichts anderes, auch wenn das nicht repräsentativ sein mag.
Ich studiere Wirtschaftsinformatik, ein Prof hat das Thema mal angeschnitten und in unserem Kurs mit ca. 50 Leuten gefragt wie wir dazu stehen. Mit mir waren es nur 10 die es ablehnten, dem Rest war es entweder egal oder befürwortete es sogar.
 
@chris899: Willkommen im Land der Dichter und Denker...
 
@chris899: Es kommt auf die Umsetzung an. Google hat mit Android auf eine Software basierte Lösung gesetzt, die offensichtlich nicht sicher genug ist.
 
@chris899: bitte nicht alles über einen kamm scheren, nur android hat hier ein sicherheitsproblem.
 
Ich zähle mich zwar nicht gerade zu den Aluhut-Trägern, aber dennoch bin ich seit den News der letzten Wochen mehr und mehr froh ein iPhone zu besitzen :P
 
@jakaZ: Das ist doch aber nur, weil Android Open Source ist und viele viele Augen diese Lücken finden können. Bei WP und iOS kann keiner die Lücken finden, aber sie sind bestimmt da, ganz bestimmt ... mit absoluter Sicherheit ;) Ach was sag ich, irgendeiner hat die bestimmt gschon gefunden, wird aber von Apple und MS erpresst, diese nicht zu publizieren ;)
 
@iPeople: Gut das du weisst, dass es die lücken gibt. Dann such mal schön, um den thunderbold wurm zu entwickeln hat es wie lange gedauert für die 2 experten?!
ich bin ja dafür skeptisch vielen dingen entgegenzutretten und dann zu prüfen aber bei dir ist es ja pur antiapple und du prüfst da garnichts hauptsache stänkern. Finde eine lücke im fingerabdrucksystem von apple dann sehen wir weiter
 
@Fanel: Du hast aber schon bemerkt, dass es Ironie war?
 
@iPeople: nö :)
 
@Fanel: Merkt man ;)
 
@iPeople: smilies voll nicht gesehen, passiert^^
 
@iPeople: Bestimmt ist alles noch schlimmer, Apple und MS haben diese dank Closed Source unauffindbaren Lücken sicherlich mit voller Absicht für NSA, Homeland Security und die Illuminati eingebaut ;)
 
Datenschutz, Firewall, gute Passwörter braucht man alles nicht. Mir doch egal was MS, Apple, Google, FB usw. von meiner Festplatte oder Hacker von deren Server alles lesen können - hab ja nichts zu verbergen und meine Fingerabdrücke sind eh auf allem was ich mal angefasst habe :D
 
@Paradise: Die Frage ist nur, ob diese Fingerabdrücke auch verwertbar sind ;-)
 
Interessanter Artikel. Nur wäre es noch interessanter zu erfahren, was genau dort ausgelesen werden kann. Auf Android wird ja wohl hoffentlich nicht der gesamte Fingerabdruck gespeichert. Es sollte grundsätzlich niemals möglich sein, aus dem, was das System über den Abdruck speichert, den eigentlichen Abdruck zu rekonstruieren, sonst wäre das System mehr als fahrlässig implementiert.

Ansonsten wundere ich mich über diese merkwürdige Aussage zu iOS. Wenn ich jemandem das iPhone und seinen Fingerabdruck entwende, brauche ich überhaupt keine Keys mehr, um mit dem Abdruck das iPhone zu entsperren oder sonstige Dinge zu authentifizieren. Soweit ich weiß macht auch das iPhone keine Erkennung von Lebenszeichen wie Puls oder Temperatur, so dass ein rekonstruierter Fingerabdruck ausreichend ist, sofern man das Gerät hat, auf dem der Abdruck eingerichtet ist.
 
@HeadCrash: Echt wie entwendest du jemanden sein iphone und fingerabdruck? Ne heckenschere dabei und schneidest erstmal paar finger ab?
Diese fingerabdrücke wurden mit ultrahd fotos und in nahezu laborbedingungen nachgebildet. klar hast du sowas dabei und kannst das mal eben machen. Ich habe in 5 Minuten mein Iphone über find my phone komplett unbrauchbar gemacht. viel spass damit
 
@Fanel: Ich habe nie behauptet, dass es einfach sei. Die meisten hier scheinen aber das Gegenteil zu glauben. Fingerabdrücke überall und ultraeinfach anzufertigen. :)

Worauf ich raus wollte war, dass es del-facto keinen Unterschied zwischen Android und iOS gibt, wenn man Fingerabdruck und Gerät hat. Die Frage ist also, ob bei Android wirklich eine so eklatante Lücke existiert, dass sich der Fingerabdruck vollständig aus den ausgelesenen Daten rekonstruieren lassen würde. Damit wäre zumindest der Teil mit dem Fingerabdruck vereinfacht.
 
@HeadCrash: selbst ein wenn es nur ein teilfingerabdruck ist, denn man auslesen kann ist es zu viel.
 
@Fanel: stimmt
 
Hoffentlich gibt's bald Untersuchungen zu Windows Hello (sowohl Fingerabdruck- als auch Irisauthentifizierung). Mal sehen, ob Microsoft da seine Hausaufgaben gemacht hat.
 
@adrianghc: Ich kann zumindest sagen, dass sich aus den Daten, die MS über Fingerabdruck, Iris oder Gesicht speichert, auf keinen Fall das Original rekonstruieren lässt. Wenn man es also schaffen würde, das Template aus einem Gerät zu entsenden, kann man es höchstens auf ein anderes Gerät übertragen, man braucht aber immer noch den Finger, das Auge oder das Gesicht dazu.
 
@HeadCrash: in wie fern kannst du das sagen? Gibt es irgendwo hier rüber mehr Informationen?
 
@Balu2004: Ich glaube, dass es noch keine genaue technische Beschreibung irgendwo öffentlich gibt. Die Infos kommend direkt von Microsoft. Laut denen werden die biometrischen Daten gelesen und dann mehrfach vereinfacht, wobei viele Informationen verlorengehen und die wesentlichen Identifikationsmerkmale herausgearbeitet werden. Das ist etwa vergleichbar mit der Berechnung eines Hash-Werts. Aus dem Ergebnis der Analyse kann man die ursprünglichen Daten nicht rekonstruieren. Zusätzlich wird dieses "Template" dann noch verschlüsselt, bevor es im System gespeichert wird.

Bei der Authentifizierung wird der Vorgang wiederholt und das Ergebnis mit dem gespeicherten Template verglichen. Es funktioniert also ähnlich wie eine Signaturprüfung.

Für die Gesichts- und Iriserkennung wird Infrarot verwendet, so dass Fotos nicht erkannt werden. Zusätzlich kann man das System noch "verschärfen", zumindest bei der Gesichtserkennung, indem man eine Option aktiviert, die fordert, dass der Anwender den Kopf leicht hin und her bewegt.
 
@HeadCrash: Danke für die Erklärung und einen schönen Abend noch.
 
@adrianghc: jo mal schauen. Für die Samsung Gesichtserkennung hat damals ein Foto ausgereicht, deswegen gab es den mist ja glaub ich auch nur ein Jahr lang beim s4, beim s5 wurde dann ja das iphone mal wieder kopiert.
 
@Fanel: Dass für Windows Hello ein Foto allein nicht reicht, weiß man schon.
 
@Fanel: Mit einem Foto kannste bei Windows Hello nichts anfangen.
 
Hat sich die selten schwachsinnige Idee, Biometrie als Sicherheitsmerkmal zu nutzen, doch so lange gehalten?
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte