CCC: Starbug hat auch den Iris-Scanner des Galaxy S8 geknackt

Es wird mittlerweile zu einer kleinen Tradition: Kaum stellt ein großer Elektronik-Hersteller ein neues Produkt mit einer tollen biometrischen Zugangstechnik vor, macht Starbug, der Biometrik-Experte des CCC, diese nach wenigen Tagen einfach kaputt - diesmal beim Samsung Galaxy S8.
'Security' - meint Samsung
Starbug hatte bereits für Aufsehen gesorgt, als er den angeblich stark verbesserten und hochsicheren Fingerprint-Scanner in Apples iPhones mit etwas Holzleim und in Rekordzeit überwand. Und nun hat er auch eine ziemlich simple Methode gefunden, um die Iris-Erkennung in Samsungs neuem Flaggschiff hinters Licht zu führen.

Dafür reichte eine einfache, gar nicht mal so neue Kompaktkamera, die einen Nachtmodus mitbringt, für den sie auch Infrarot-Informationen, die auf dem Bildsensor landen, mit auswertet. Mit dieser kann aus einiger Entfernung ein Bild des Auges geschossen werden. Nun genügt es, von diesem einen Ausdruck anzufertigen, der die Iris in halbwegs natürlicher Größe zeigt.

Vom Ausdruck zum Auge

Dann aber kommt der eigentliche Trick - denn die Ingenieure bei Samsung haben damit sicherlich gerechnet und den Algorithmen eine Erkennungs-Funktion mitgegeben, die Login-Versuche mit einem einfachen Ausdruck verhindert. Es genügt am Ende aber, einfach eine Kontaktlinse auf das gedruckte Bild zu setzen und es der Kamera anzubieten. Dann wird die Fälschung als richtiges Auge erkannt und der Zugang zum Smartphone freigegeben.

Das ist im Grunde ein noch größeres Problem als die meisten Verfahren, bei denen gestohlene Fingerabdrücke zum Einsatz kamen. Denn um an ein Bild der Iris zu kommen, genügt oft eine halbwegs beiläufige Fotografie. Die dafür benötigten Bildinformationen dürfte man auch bekommen, wenn man nicht auf eine Kamera mit Nachtmodus zurückgreift. Es reichen sicherlich die RAW-Daten eines Bildes, in denen die entsprechenden Informationen ebenfalls enthalten sind.