Android: Login mit Fingerabdruck lässt sich per Brute-Force knacken
Der Zugangsschutz per Fingerabdruck zu Android-Smartphones lässt sich mit einer Brute-Force-Attacke überwinden. Der dagegen eingesetzte Sicherheits-Mechanismus funktioniert nicht so gut, wie es eigentlich vorgesehen ist.
In der nachgelagerten Technik hinter dem Fingerprint-Sensor sorgt die Cancel-After-Match-Fail (CAMF)-Funktion dafür, dass die Authentifizierungsaktivitäten eingeschränkt werden. Dadurch lassen sich nur begrenzte Mengen an Versuchen in einem bestimmten Zeitraum durchführen. Es sind dabei immer noch genug, um keine Ungeduld beim User zu erzeugen, eine automatisierte Massen-Abfrage wie sie bei einer Brute-Force-Attacke eingesetzt wird, funktioniert so aber nicht.
Chinesische Sicherheitsforscher haben es aber geschafft, diese Sperre zu umgehen. Sie können so nicht nur extrem viele Log-in-Versuche durchführen, sondern die Informationen auch so in das Smartphone einschleusen, dass sie scheinbar wirklich vom Fingerprint-Sensor kommen. Für einen erfolgreichen Einbruch benötigten die Security-Experten mehrere Stunden lang physischen Zugang zu einem Zieltelefon, einen kleinen Platinen-Rechner für 15 Dollar und Zugang zu einer Datenbank mit Fingerabdruckbildern.
Alle von den Forschern getesteten Android-Geräte und ein HarmonyOS-Gerät (Huawei) wiesen mindestens eine Schwachstelle auf, die einen Brute-Force-Einbruch ermöglichte. Aufgrund der stärkeren Verteidigungsmechanismen in iOS-Geräten konnten diese der Attacke widerstehen. Die Forscher stellten fest, dass iPhones zwar auch für CAMF-Schwachstellen anfällig sind, jedoch nicht so weit, dass ein erfolgreicher Einbruch möglich wäre.
Chinesische Sicherheitsforscher haben es aber geschafft, diese Sperre zu umgehen. Sie können so nicht nur extrem viele Log-in-Versuche durchführen, sondern die Informationen auch so in das Smartphone einschleusen, dass sie scheinbar wirklich vom Fingerprint-Sensor kommen. Für einen erfolgreichen Einbruch benötigten die Security-Experten mehrere Stunden lang physischen Zugang zu einem Zieltelefon, einen kleinen Platinen-Rechner für 15 Dollar und Zugang zu einer Datenbank mit Fingerabdruckbildern.
iOS nicht geknackt
Letzteres kann man auf verschiedenen Wegen bekommen. So gibt es entsprechende Sammlungen im akademischen Umfeld, wo sie für die Forschung eingesetzt werden. Aber auch gestohlene Datenbanken verschiedener Anbieter biometrischer Systeme sind auf den einschlägigen Schwarzmärkten im Umlauf. Auf dem kürzlich geschlossenen Genesis Market, der sich auf Informationen für Identitätsfälscher spezialisierte, hatten Ermittler eine Datenbank mit rund 80 Millionen Fingerprint-Sätzen gefunden.Alle von den Forschern getesteten Android-Geräte und ein HarmonyOS-Gerät (Huawei) wiesen mindestens eine Schwachstelle auf, die einen Brute-Force-Einbruch ermöglichte. Aufgrund der stärkeren Verteidigungsmechanismen in iOS-Geräten konnten diese der Attacke widerstehen. Die Forscher stellten fest, dass iPhones zwar auch für CAMF-Schwachstellen anfällig sind, jedoch nicht so weit, dass ein erfolgreicher Einbruch möglich wäre.
Zusammenfassung
Siehe auch:- Zugangsschutz per Fingerabdruck an Android-Smartphones kann überwunden werden.
- Sicherheits-Mechanismus funktioniert nicht so gut, wie vorgesehen.
- Chinesische Forscher finden Weg, Sperre zu umgehen.
- Erfolgreicher Einbruch erfordert mehrere Stunden Zugriff auf Gerät.
- iPhones mit stärkerer Verteidigung, Einbruch nicht möglich.
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
Technikdirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen