Werbung
Auf dem gestern gestarteten 31C3 haben Jan Krissler und Tobias Fiebig von der Technischen Universität Berlin ein Verfahren vorgeführt, bei dem über ein Foto einer Hand oder eines Fingers aus dem Alltag bereits die Erstellung eines Fingerabdrucks möglich ist. Der vortragende "Starbug" war unter anderem maßgeblich für die Überlistung von Touch-ID auf dem iPhone 5S verantwortlich, der inzwischen auf allen neuen iPhones und iPads verbaut ist.
Doch die Sicherheitsprobleme aktueller Authentifizierungen und Sicherheitssysteme beginnen bereits mit den verbauten Kameras in den Smartphones. Denn jedes bessere Smartphone besitzt inzwischen eine hochauflösende Kamera, die bereits ab einem Abstand von 30 cm derart gute Fotos macht, dass Iris-Scans und Fingerabdrücke kopiert werden können. Dabei bieten die mehr oder weniger sicheren mobilen Betriebssysteme für Hacker weltweit die Möglichkeit darauf Fernzugriff zu bekommen. Wer sich ein paar Apps aus dem Google Play Store installiert hat, kennt die Frage nach den Zugriffsrechten durch die Apps. Von daraus resultierenden Sicherheitslücken gar nicht erst zu sprechen.
Vorgestellt wurde in diesem Zusammenhang der sogenannte "Corneal Keylogger". Dabei werden die Reflexionen des Smartphone-Displays in den Augen bei sogenannten Selfies analysiert. Serienbilder erlauben sogar das Erkennen der Passwörter. Die Kameras der Smartphones bieten bereits eine ausreichende Auflösung. Für die Pin-Eingabe reichen nur wenige Pixel der Spiegelung aus, um das komplette Display analysieren zu können.
Auch Zugangssysteme, welche die Iris als Identifizierungsmerkmal verwenden, lassen sich mit Fotos bereits überlisten. Smartphone-Kameras reichen dazu bereits aus. Professionelle Kameras mit entsprechend guten Zoom-Objektiven erreichen natürlich ebenfalls eine mehr als ausreichende Auflösung. Bereits 70 Pixel eines Auges reichen aus, um einen Iris-Scanner zu überlisten. Die Fotos müssen dazu auf mit einen 1.200-dpi-Drucker ausgedruckt werden. Ansonsten aber sind keine technischen Hindernisse vorhanden, die Scanner zu täuschen. Für helle Augen funktioniert der Prozess bereits heute tadellos, dunkle Augen benötigen gegebenenfalls eine Aufnahme mittels Infrarotkamera, wie sie dann auch im Scanner verwendet werden, um das Auge zu scannen.
Eine weitere Methode Zugangssysteme abzusichern, sind Gesichtserkennungen mit Lebenderkennung. Doch auch diese stellen inzwischen kein größeres Problem mehr dar. Ein Foto des Gesichtes reicht für die Erkennung aus. Um die Lebenderkennung zu überlisten ist noch nicht einmal ein Video notwendig. Bereits mit einem Stift lässt sich beispielsweise das Zwinkern der Augen simulieren. Dazu wird der Stift einfach vor dem Ausdruck des Gesichtes in Augenhöhe hin und her bewegt.
Fremde Identitäten einzunehmen ist also heute kein Problem mehr. Fingerabdrücke fremder Personen sind leicht zugänglich und lassen sich auch ebenso einfach reproduzieren. Auch Erkennungssysteme für Fingerabdrücke lassen sich leicht überlisten - selbst mit primitiven Attrappen. Direkter physischer Zugriff auf die Fingerabdrücke ist aufgrund der hochauflösenden Fotos, die weltweit verfügbar sind, nicht mehr notwendig. Brennweiten und Abstände zu den Personen, deren Fingerabdrücke man erlangen möchte, sind in der Praxis einfach zu erreichen. Als prominentes Beispiel besorgte man sich den Fingerabdruck des Daumes von Ursula von der Leyen. Die entsprechenden Aufnahmen stammen von einer Bundespressekonferenz. Die gewonnen Fingerabdrücke reichen bereits aus, sich als Ursula von der Leyen auszugeben. Eventuelle Lücken im Profil des Fingerabdruckes entstammen meist noch der zu geringen Tiefenschärfe von Aufnahmen. Ein Abblenden oder mehrere Aufnahmen sowie der eventuelle zukünftige Einsatz von Lichtfeldkameras wie etwas der Lytro würden aber auch dieses Problem schnell lösen. Die Software zu Ermittlung der Fingerabdrücke aus den Fotos heraus kostet nur wenige hundert Euro.
Für den Nutzer von Smartphones bieten Identifizierungen per Fingerabdruck, Gesichts- oder Stimmerkennung eine einfache und vermeintlich sichere Alternative zur Pin- oder Passwort-Eingabe. Besser als gar kein Kennwort sind sie allemal. Auch Haustüren privater Haushalte werden mehr und mehr von Schlössern mit Fingerabdrücken gesichert. Doch in sicherheitsrelevanten Bereichen von Unternehmen werden solche Systeme ebenfalls eingesetzt und inzwischen können diese mit geringstem Aufwand überwunden werden - egal ob Fingerabdruck, Gesichtserkennung oder Iris-Scan.