TouchID vom iPhone 5S bereits durch CCC geknackt

Sicherheits-Experten haben bereits zur Einführung des neuen iPhone 5S von Apple darauf hingewiesen, dass die Nutzung des Fingerabdrucks zur Authentifizierung keine besonders gute Idee ist - mit Recht, wie sich nun zeigt. Der Hacker starbug vom Chaos Computer Clubs (CCC) konnte nun bereits demonstrieren, wie sich diese Zugangssperre problemlos aushebeln lässt. Dafür genügte ein Fingerabdruck, der von einer Glasoberfläche abfotografiert wurde. Mit diesem ließ sich ein künstlicher "Finger" schaffen, der einem Angreifer Zugang zum iPhone verschafft.

Apple hatte bei der Produktvorstellung betont, dass das neue System deutlich sicherer sein sollte, als bisherige Fingerprint-Reader, wie man sie beispielsweise seit längerer Zeit aus Notebooks kennt. "Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen", erklärte starbug.

Für den Hack benötigte man beim CCC nur einfache Dinge, die man quasi in fast jedem Haushalt finden kann. Das Foto des Fingerabdrucks wurde mit einer Auflösung von 2.400 dpi erstellt. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker mit mindestens 1.200 dpi auf eine Transparenzfolie gedruckt.

Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone mit der Atrappe entsperren.

"Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen", führte der Hacker weiter aus. "Es ist einfach eine dumme Idee etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterlässt."

iPhone-Benutzern wird der Tipp gegeben, sensible Daten nicht mit ihrem Fingerabdruck zu sichern, sondern ein Passwort zu verwenden. Dabei geht es nicht nur darum, dass der Fingerabdruck so leicht gefälscht werden kann. Auch, so hieß es, könne man sehr leicht dazu gezwungen werden, sein Telefon zu entsperren, wenn man festgenommen wird. Einen Menschen dazu zu zwingen, ein sicheres Passwort preiszugeben, sei hingegen um einiges schwieriger als einfach das Telefon vor seine Hände in Handschellen zu halten.

Die Einführung der Technologie durch Apple kann durch die relativ leichte Fälschbarkeit außerdem zukünftig zu weitergehenden Problemen führen - denn das Unternehmen will den Sensor nicht nur für die Freischaltung des Smartphones einsetzen, wodurch im Zweifelsfall bereits umfangreiche persönliche Daten offen liegen würden, sondern auch für verschiedene weitergehende Anwendungen im Web.