Aktuelle Themen:
Der neuartige, ins Display integrierte Ultraschall-Finger-Scanner lässt sich mithilfe eines 3D-Druckers überlisten. Doch gehen die Meinungen über die Tragweite des Hacks weit auseinander.
Hat Samsung bei seinem Flaggschiff, dem Galaxy S10, die Sicherheit sträflich vernachlässigt?
Ein Reddit-User konnte offenbar die biometrische Sicherheitsfunktion, die das neue Android-Topmodell schützt, mit relativ einfachen Mitteln hacken.
Alles, was man laut der kürzlich im Internet veröffentlichten Demonstration braucht:
Betroffen sind das Galaxy S10 und das S10 Plus, das sind die ersten und derzeit einzigen Smartphones, die den Ultraschall-Fingerabdrucksensor von Qualcomm im Display haben.
In Zukunft könnten auch Smartphones anderer Hersteller betroffen sein, die den gleichen Sensor verbauen. Der US-Hersteller bezeichnet die biometrische Authentifizierungstechnik «3D Sonic» und verspricht «leistungsstarken Schutz, auch unter extremen Bedingungen». Sie funktioniere präziser und sicherer als bisherige optische Finger-Scanner.
Sein «Experiment» werfe ethische Fragen und Bedenken auf, hält der Galaxy-S10-Hacker mit dem Pseudonym «darkshark» fest und warnt Smartphone-User:
Mit dem Angriff wolle er darauf aufmerksam machen, dass auch moderne Fingerabdrucksensoren keine sichere Methode seien, um ein Gerät zu sperren, bzw. abzusichern.
Wenn er das Smartphone von jemandem stehle, seien die Fingerabdrücke des Opfers auf der Glasoberfläche zu finden, gibt der unbekannte Hacker zudem zu bedenken. Einem Dieb fielen also Schlüssel und Schloss in die Hände.
Die meisten Bank-Apps erforderten nur eine Fingerabdruck-Authentifizierung, so dass er das Geld in weniger als 15 Minuten von einem fremden Konti abziehen könne, wenn das Handy nur durch den Fingerabdruck gesichert sei.
Der Fingerabdruck des Opfers wurde per 3D-Drucker auf den gläsernen Objektträger aufgetragen. screenshot: imgur
Die via Reddit und dem Bilderdienst Imgur verbreitete Anleitung lässt praktisch keine Fragen offen.
Der Ausdruck habe keine Viertelstunde gedauert. screenshot: imgur
Und natürlich habe er den Fingerabdruck, der auf seinen Fotos zu sehen sei, verzerrt, betont der Hacker.
Die deutschen Konsumentenschützer von Stiftung Warentest hatten dem Galaxy S10 gute Noten erteilt. Einziger Kritikpunkt war die automatische Gesichtserkennung. Die lasse sich mit einem Foto des Besitzers viel zu leicht überlisten.
Wir halten fest:
screenshot: watson
Bisher nutzen in Smartphone-Displays verbaute Fingerabdruck-Scanner einen optischen Sensor, genauer gesagt eine Kamera, die durch das Display leuchtet. Das sei zum Beispiel bei Smartphones wie dem OnePlus 6T oder Huawei Mate 20 Pro der Fall, hält Computer Base fest.
Der von Samsung angepriesene Ultraschall-Fingerabdrucksensor ist laut Werbung sicherer als bisherige optische Finger-Scanner. Dass die ins Display integrierte Nachfolge-Technologie relativ einfach ausgetrickst werden kann, lässt den Lieferanten Qualcomm ziemlich alt aussehen. Auf eine Anfrage von watson hat das US-Unternehmen nicht reagiert.
screenshot: samsung.com
Aus Konsumentensicht ist klar: Wenn sich ein Gerät von (kriminellen) Dritten relativ einfach entsperren lässt, sollte man ihm keine heiklen Daten anvertrauen – oder muss diese durch andere Vorkehrungen schützen. So gilt es den Zugriff auf Banking- und Kryptowährungs-Apps, aber auch auf private Fotos, zusätzlich durch einen PIN-Code zu schützen.
Wer auf Nummer sicher gehen will, versieht die Display-Sperre wie in alten Zeiten mit einem langen Zahlencode oder – noch besser – einem alphanumerischen Passwort.
Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen.
Im Falle eines Geräte-Verlusts sollten Samsung-User umgehend alle darauf gespeicherten Daten aus der Ferne löschen. Das ist mit der App «Mein Mobilgerät finden» möglich.
Nach anfänglichem Schweigen antwortet der koreanische Hersteller mit einer ausführlichen Stellungnahme. Darin wird argumentiert, dass die Angriffsmethode aufwändig sei, also für die meisten User keine echte Gefahr droht:
Zudem verweist Samsung auf umfangreiche interne Prüfungen zur neuartigen biometrischen Technik:
Quellen:
(via futurezone.at)
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis! 
Highlight
"Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen." Highlight
Wir wissen doch seit Jahrzehnten, dass man Fingerabdrücke mit dem nötigen Fachwissen simulieren und platzieren kann. Ich weiss wirklich nicht, wie sich das als Entsperr-Methode Nr. 1 durchsetzen konnte. Highlight
Das ist natürlich "relativ" einfach, Herr Schurter. Man braucht ja lediglich einen Fingerabdruck, eine Handy-Kamera, ein Bildbearbeitungsprogramm, eine 3D-Modellierungssoftware (welche man bedienen können muss) und einen 3D-Drucker... sehr einfach.... Highlight
Jaja... von einem Glas... weil man den Fingerabdruck – den man zum Entsperren des mit Fingerabdruck gesicherten Geräts benötigt – bestimmt nicht auf dem Gerät findet, welches mit dem Fingerabdruck entsperrt wird. Highlight
"Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen." Highlight
Kann schon sein, dass die Konstellation selten ist, jedoch sind 3D-Drucker schon heute extrem verbreitet und vor allem für jeden zu kaufen. Auch wenn die 3D-Drucker nicht einen richtigen Durchbruch haben werden, werden in Zukunft viele mehr einen haben. Ausserdem ist das vor allem spannend für Leute, die einen gezielten Angriff machen und nun eine Möglichkeit haben, mit wenig Geld das zu machen. Highlight
Wir wissen doch seit Jahrzehnten, dass man Fingerabdrücke mit dem nötigen Fachwissen simulieren und platzieren kann. Ich weiss wirklich nicht, wie sich das als Entsperr-Methode Nr. 1 durchsetzen konnte. Highlight
Ich kann mit einiges weniger Aufwand deinen 6 stelligen PIN herausfinden wenn ich dein Smartphone klauen will. Da genügt es wahrscheinlich schon wenn ich in einer Zugfahrt mal neben dich sitze und dich beobachte. Für den Fingerabdruck ist doch einiges mehr Aufwand nötig. Highlight
@pun: Man kann den Code auch von den Augen ablesen ;-) Highlight
Das ist natürlich "relativ" einfach, Herr Schurter. Man braucht ja lediglich einen Fingerabdruck, eine Handy-Kamera, ein Bildbearbeitungsprogramm, eine 3D-Modellierungssoftware (welche man bedienen können muss) und einen 3D-Drucker... sehr einfach.... Highlight
Übrigens, an Fingerabdrücke kommt man auch einfach per Fotokamera an. Hier haben Hacker die Fingerabdrücke der deutschen Verteidigungsministerin veröffentlicht. Haben einfach an einer Pressekonferenz den Fingerabdruck mit einem 200mm Objektiv fotografiert.
Highlight
Interessant. Ginge es im Artikel um ein iPhone, dann gäbe jetzt sicher schon mindestens 267 Kommentare... Highlight
@ostpol76 Highlight
Logisch ist es nicht optimal, aber alle Sicherheitsfeature können umgangen werden. Niemand ist interessiert daran, Hans Muster zu hacken. Als CEO einer internationalen Firma sollte man evt. auf ein Blackberry zurückgreifen, aber als Normalbürger ist das kein Problem. Zudem muss man immer Kosten und Nutzen anschauen. Ein 3D-Drucker, der Mikrometer genau drucken kann, kostet mehrere 1000 CHF. 
