Fingerabdrucksensor im Galaxy S5 gehackt

Beim iPhone 5s von Apple dauerte es nur wenige Stunden, bis die ersten Hacks erfolgreich waren, den Touch-ID getauften Fingerabdrucksensor zu umgehen. Anders erging es dem Samsung Galaxy S5 (aktueller Hardwareluxx-Test des Samsung Galaxy S5) nun offenbar auch nicht, denn wie Sicherheitsforscher der SRLabs vermelden, ist mit der gleichen Holzleim-Attrappe auch der Sensor auf dem Samsung-Flaggschiff zu umgehen. Dabei wurde ein Fingerabdruck mit 2.400 ppi abfotografiert und wiederum in 1.200 ppi auf einem Laserdrucker ausgedruckt. Mittels hautfarbener Latexmilch beziehungsweise Holzleim wurden dann die korrekten Konturen auf dem Fingerabdruck nachmodelliert.

Deutlich problematischer ist dies auf dem Samsung Galaxy S5, da hier ein anderes Sicherheitskonzept hinter dem Sensor steht. So koppelt Apple den Fingerabdruck mit einem gesonderten Passwort, dass nach fünf erfolglosen Versuchen über den Sensor eingeben werden muss. Ebenfalls notwendig ist dies nach einem Neustart des iPhones. Beim Samsung Galaxy S5 allerdings können theoretisch unendliche viele Versuche vorgenommen werden, da ein einfaches ein- und ausschalten des Displays den Zähler der erfolglosen Versuche wieder auf null zurücksetzt. Ebenfalls nicht abgefragt wird ein gesondertes Passwort nach einem Neustart des Samsung Galaxy S5, so dass die komplette Sicherheit der Daten von dem mehr oder weniger sicheren Fingerabdruck abhängt.

Bei Apple ist das besonders lange und komplizierte Kennwort ein wichtiges Sicherheitselement im Zusammenspiel mit Touch-ID, da erst darüber die Entschlüsselung der Daten sichergestellt wird. Diese letzte Hürde wird bei Samsung komplett vom Fingerabdruck ersetzt. Zwar wird auch hier ein Kennwort hinterlegt, dessen Eingabe ist nach fünf fehlerhaften Versuchen aber mehr oder weniger freiwillig bzw. kann einsetzt werden, wenn der Sensor einmal komplett streikt. Geht das Galaxy S5 allerdings komplett verloren, gibt man dem Dieb oder Angreifer theoretisch alle Zeit der Welt den Fingerabdrucksensor zu täuschen. Das unkalkulierbare Risiko wird vermutlich auch dann erst deutlich, wenn man sich einmal vor Augen führt, dass auch Transaktionen wie Käufe im Google Play Store oder über die PayPal-App möglich sind. Auch dies haben die Sicherheitsforscher bereits erfolgreich dargelegt.

Es bleibt nun zu hoffen, dass Samsung in einem zukünftigen Software-Update für das Galaxy S5 die Passwort-Sperre nach z.B. fünf erfolglosen Eingaben oder nach einem Neustart zur Pflicht macht.