Gastkommentar: Warum ich die TouchID (erneut) geknackt habe und sie trotzdem großartig finde

Als im letzten Jahr das iPhone 5S herauskam, habe ich demonstriert, auf welche raffinierte Weise man den neuen TouchID-Fingerabdrucksensor überlisten kann. Ein Jahr und ein iPhone 6 später habe ich es wieder getan. [...]

Apple iPhone 6: TouchID geknackt (c) Marc Rogers
Apple iPhone 6: TouchID geknackt

Als das iPhone 6 auf den Markt kam, wollte ich als erstes herausfinden, ob es Änderungen am TouchID-Sensor gegeben hatte oder nicht. Ich habe nicht unbedingt erwartet, dass der TouchID-Sensor nun völlig sicher sein würde, mir aber zumindest gewisse Verbesserungen erhofft. Also machte ich mich daran, einige gefälschte Fingerabdrücke zu erstellen. Dabei ging ich genauso vor wie damals, als ich die TouchID auf dem 5S geknackt hatte. Mit den fertigen Fingerabdrücken führte ich Tests auf beiden Geräten durch.

Die Ergebnisse meiner Tests sind in folgendem Video zu sehen.

Leider hat es zwischen den beiden Geräten kaum messbare Verbesserungen am Sensor gegeben. Die mit dem früheren Verfahren erstellten Fälschungen konnten beide Geräte problemlos täuschen.

Außerdem gibt es keine zusätzlichen Einstellungen, mit denen Nutzer die Sicherheit erhöhen können. Beispielsweise fehlt ein Timeout für die TouchID mit obligatorischer Eingabe eines Zahlenkennworts nach Ablauf der Zeit. Die größte Veränderung scheint darin zu bestehen, dass der Sensor viel empfindlicher zu schein scheint, was auf eine Scannerkomponente mit höherer Auflösung zurückzuführen ist. Woher weiß ich das? Bei meinen Tests fiel mir auf, dass mit dem iPhone 6 die Falsch-Negativ-Rate deutlich geringer war. Die Falsch-Negativ-Rate beschreibt das Ablehnen eines richtigen Fingerabdrucks durch das Gerät. Das liegt aller Wahrscheinlichkeit nach aber auch daran, dass das iPhone 6 wohl einen viel größeren Bereich des Fingerabdrucks scannt, um die Zuverlässigkeit zu verbessern.

Ein weiteres Zeichen dafür, dass der Sensor womöglich verbessert wurde, ist, dass „verdächtige“ – noch immer falsche Fingerabdrücke – die das iPhone 5S täuschen konnten, beim iPhone 6 nicht funktionierten. Um das iPhone 6 hinters Licht zu führen, muss der nachgemachte Fingerabdruck einige Besonderheiten aufweisen:  Er muss deutlich komplexer und detaillierter sein. Die Proportionierung sowie Positionierung müssen ebenfalls stimmen. Zusätzlich sollte der Abdruck dick genug sein, damit der echte Fingerabdruck nicht durchkommt und stattdessen erkannt wird. Das sind zwar für einen Forscher im Labor keine unüberwindlichen Hindernisse, aber sie machen es Kriminellen bestimmt schwerer, einfach einen Fingerabdruck von der glänzenden iPhone-Oberfläche abzunehmen und das Gerät zu entsperren.

FAZIT
Genau wie beim Vorgängermodell, dem iPhone 5S, kann der TouchID-Sensor des iPhone 6 geknackt werden. Davon geht jedoch die Welt nicht unter. So ein Angriff erfordert Know-how, Geduld und eine wirklich gute Kopie des Fingerabdrucks. Ein alter, verschmierter Abdruck funktioniert nicht. Die Verarbeitung dieses Abdrucks in eine funktionierende Kopie ist außerdem ein ziemlich komplexes Verfahren, so dass es mit großer Wahrscheinlichkeit nur dann eine Gefahr darstellt, wenn ein raffinierter Angreifer gezielt vorgeht. Ich bediene mich auch hier meiner Analogie aus meinem letzten Blogbeitrag zur TouchID: Die Schlösser an unseren Türen, mit denen wir Verbrecher abhalten, benutzen wir nicht, weil sie perfekt sind, sondern weil sie sowohl praktisch als auch wirksam genug sind, um den meisten herkömmlichen Gefahren zu begegnen.

Dass Apple den TouchID-Sensor ein wenig optimiert hat, ist ein Zeichen dafür, dass man an der Verbesserung des Merkmals arbeitet. Allerdings zielen die Veränderungen hauptsächlich auf eine höhere Benutzerfreundlichkeit ab. Nach heutigem Stand ist die TouchID ein wirkungsvoller Sicherheitsmechanismus, der für seinen primären Zweck, nämlich die Entsperrung des iPhone, mehr als ausreichend ist.

* Marc Rogers ist ehemaliger Hacker und Principal Security Researcher bei Lookout.


Mehr Artikel

Stijn Bannier, Digital Product Manager, Open API.
News

Air France-KLM erklimmt mit API neue Höhen

Air France-KLM hat mit TIBCO Cloud Integration und TIBCO Cloud Mashery Software eine API-geführte, kundenzentrierte Strategie umgesetzt. Sie verknüpfte ihre riesige Anwendungs- und Datenumgebung, um Partnern, Entwicklern und Endbenutzern ein reibungsloses Erlebnis zu bieten – und dem Unternehmen die Fähigkeit zur agilen Veränderung. […]

Palo Stacho, Mitgründer und Head of Operations bei Lucy Security (c) Lucy Security
Kommentar

Die fünf Mythen von simulierten Phishing-Nachrichten

Das Schweizer Unternehmen Lucy Security hat in einer weltweiten Onlinestudie „Nutzen und Herausforderungen von Cybersecurity-Awareness 2020“ im Juni 2020 Unternehmen nach dem praktischen Nutzen und den Herausforderungen von Cybersecurity-Awareness befragt. Aufgrund dieser Studie räumt Palo Stacho, Mitgründer und Head of Operations bei Lucy Security, mit fünf Mythen auf. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*