wechselnd bewölkt
DE | FR
burger
Digital
Analyse

Galaxy S10: So einfach lässt sich der Fingerabdruck-Scanner austricksen

Analyse

Fingerabdruck auf Glas – so «einfach» lässt sich Samsungs Galaxy S10 knacken

Der neuartige, ins Display integrierte Ultraschall-Finger-Scanner lässt sich mithilfe eines 3D-Druckers überlisten. Doch gehen die Meinungen über die Tragweite des Hacks weit auseinander.
11.04.2019, 08:2311.04.2019, 14:43
Daniel Schurter
Daniel Schurter
Daniel Schurter
Folge mir
Mehr «Digital»

Hat Samsung bei seinem Flaggschiff, dem Galaxy S10, die Sicherheit sträflich vernachlässigt?

Ein Reddit-User konnte offenbar die biometrische Sicherheitsfunktion, die das neue Android-Topmodell schützt, mit relativ einfachen Mitteln hacken.

Alles, was man laut der kürzlich im Internet veröffentlichten Demonstration braucht:

  • Einen Fingerabdruck vom registrierten Besitzer des Samsung-Smartphones. Zum Beispiel von einem Trinkglas.
  • Eine Handy-Kamera, ein Bildbearbeitungsprogramm und eine 3D-Modellierungssoftware.
  • Einen (billigen) 3D-Drucker.
Inhaltsverzeichnis
Welche Geräte sind betroffen?Wo ist das Problem?Wie ging der Hacker vor?Was lernen wir daraus?Was sagt Samsung?Und jetzt du! (Poll)

Welche Geräte sind betroffen?

Betroffen sind das Galaxy S10 und das S10 Plus, das sind die ersten und derzeit einzigen Smartphones, die den Ultraschall-Fingerabdrucksensor von Qualcomm im Display haben.

In Zukunft könnten auch Smartphones anderer Hersteller betroffen sein, die den gleichen Sensor verbauen. Der US-Hersteller bezeichnet die biometrische Authentifizierungstechnik «3D Sonic» und verspricht «leistungsstarken Schutz, auch unter extremen Bedingungen». Sie funktioniere präziser und sicherer als bisherige optische Finger-Scanner.

Das Promo-Video von Qualcomm

Video: YouTube/Qualcomm Snapdragon

Wo ist das Problem?

Sein «Experiment» werfe ethische Fragen und Bedenken auf, hält der Galaxy-S10-Hacker mit dem Pseudonym «darkshark» fest und warnt Smartphone-User:

«Nichts hindert mich daran, deine Fingerabdrücke zu stehlen, ohne dass du es jemals weisst, dann Handschuhe zu drucken mit deinen Fingerabdrücken, und ein Verbrechen zu begehen.»

Mit dem Angriff wolle er darauf aufmerksam machen, dass auch moderne Fingerabdrucksensoren keine sichere Methode seien, um ein Gerät zu sperren, bzw. abzusichern.

Wenn er das Smartphone von jemandem stehle, seien die Fingerabdrücke des Opfers auf der Glasoberfläche zu finden, gibt der unbekannte Hacker zudem zu bedenken. Einem Dieb fielen also Schlüssel und Schloss in die Hände.

Die meisten Bank-Apps erforderten nur eine Fingerabdruck-Authentifizierung, so dass er das Geld in weniger als 15 Minuten von einem fremden Konti abziehen könne, wenn das Handy nur durch den Fingerabdruck gesichert sei.

Der Hacker trägt für den Angriff einen Plastikhandschuh

Der Fingerabdruck des Opfers wurde per 3D-Drucker auf den gläsernen Objektträger aufgetragen.
Der Fingerabdruck des Opfers wurde per 3D-Drucker auf den gläsernen Objektträger aufgetragen.screenshot: imgur

Wie ging der Hacker vor?

Die via Reddit und dem Bilderdienst Imgur verbreitete Anleitung lässt praktisch keine Fragen offen.

  • Zunächst machte er ein Foto seines Fingerabdrucks, den er auf einem gebrauchten Weinglas fand. Das tat er aus nächster Nähe mit dem Handy. Mit einer Spiegelreflexkamera (DSLR) wäre es seiner Ansicht möglich, brauchbare Fotos auch aus grösserer Distanz zu schiessen.
  • Nun bearbeitete er das Foto mit Photoshop, um den Kontrast des Fingerabdrucks zu erhöhen. Konkret: die Papillarleisten (Rillen) auf der Unterseite der Fingerkuppe.
  • Als nächstes übertrug er das bearbeitete Digitalfoto in die Modellierungs-Software 3ds Max, um ein auf Glas ausdruckbares 3D-Modell zu erstellen.
  • Für den 3D-Druck verwendete er ein Budget-Gerät, das im Online-Handel weniger als 500 Franken kostet (AnyCubic Photon LCD). Bereits der dritte Versuch klappte, nachdem er zuvor nicht daran gedacht hatte, dass der Fingerabdruck spiegelverkehrt ausgedruckt werden muss.
  • Nun ging es an den «Angriff»: Weil der Ultraschallsensor anders als optische Fingerabdruck-Sensoren «kapazitiven Input» braucht, musste er das auf einen Objekträger ausgedruckte Plastikmodell aufs Display drücken.
Der Ausdruck habe keine Viertelstunde gedauert.
Der Ausdruck habe keine Viertelstunde gedauert.screenshot: imgur

Und natürlich habe er den Fingerabdruck, der auf seinen Fotos zu sehen sei, verzerrt, betont der Hacker.

Die deutschen Konsumentenschützer von Stiftung Warentest hatten dem Galaxy S10 gute Noten erteilt. Einziger Kritikpunkt war die automatische Gesichtserkennung. Die lasse sich mit einem Foto des Besitzers viel zu leicht überlisten.

Wir halten fest:

  • Die Gesichtserkennung des Galaxy S10 lässt sich relativ einfach austricksen. Eine «schnellere Erkennung» (siehe unten) geht zulasten der Sicherheit.
  • Der In-Display-Fingerabdruck-Scanner lässt sich ebenfalls mit relativ einfachen Mitteln aushebeln.
Bild
screenshot: watson

Was lernen wir daraus?

Bisher nutzen in Smartphone-Displays verbaute Fingerabdruck-Scanner einen optischen Sensor, genauer gesagt eine Kamera, die durch das Display leuchtet. Das sei zum Beispiel bei Smartphones wie dem OnePlus 6T oder Huawei Mate 20 Pro der Fall, hält Computer Base fest.

Der von Samsung angepriesene Ultraschall-Fingerabdrucksensor ist laut Werbung sicherer als bisherige optische Finger-Scanner. Dass die ins Display integrierte Nachfolge-Technologie relativ einfach ausgetrickst werden kann, lässt den Lieferanten Qualcomm ziemlich alt aussehen. Auf eine Anfrage von watson hat das US-Unternehmen nicht reagiert.

Bild
screenshot: samsung.com

Aus Konsumentensicht ist klar: Wenn sich ein Gerät von (kriminellen) Dritten relativ einfach entsperren lässt, sollte man ihm keine heiklen Daten anvertrauen – oder muss diese durch andere Vorkehrungen schützen. So gilt es den Zugriff auf Banking- und Kryptowährungs-Apps, aber auch auf private Fotos, zusätzlich durch einen PIN-Code zu schützen.

Wer auf Nummer sicher gehen will, versieht die Display-Sperre wie in alten Zeiten mit einem langen Zahlencode oder – noch besser – einem alphanumerischen Passwort.

Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen.

Im Falle eines Geräte-Verlusts sollten Samsung-User umgehend alle darauf gespeicherten Daten aus der Ferne löschen. Das ist mit der App «Mein Mobilgerät finden» möglich.

Was sagt Samsung?

Nach anfänglichem Schweigen antwortet der koreanische Hersteller mit einer ausführlichen Stellungnahme. Darin wird argumentiert, dass die Angriffsmethode aufwändig sei, also für die meisten User keine echte Gefahr droht:

«Die Methode, mit der der Ultraschall-Fingerabdruckscanner von Samsung entsperrt wurde, erforderte ein professionelles Softwareprogramm, spezifische 3D-Grafikwerkzeuge und 3D-Drucker, um den Fingerabdruck der Person zu simulieren. Eine solch seltene Kombination ist nur schwer herzustellen. Wenn zu irgendeinem Zeitpunkt eine potenzielle Schwachstelle festgestellt wird, werden wir unverzüglich handeln, um das Problem zu untersuchen und zu beheben.»

Zudem verweist Samsung auf umfangreiche interne Prüfungen zur neuartigen biometrischen Technik:

«Der im Display angebrachte Ultraschall-Fingerabdruckscanner des Galaxy S10 bietet eine hohe Sicherheit. Bei der Entwicklung wurden strenge Tests durchgeführt, die ein hohes Mass an Genauigkeit und Sicherheit gewährleisten. Dabei wurden auch Szenarien getestet, z.B. Versuche mit Bildern des Fingerabdrucks einer Person das Smartphone zu entsperren.»

Und jetzt du! (Poll)

Hat Samsung beim Galaxy S10 die Sicherheit vernachlässigt?

Quellen:

(via futurezone.at)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Themen
Diese super-nützlichen Apps solltest du unbedingt kennen
1 / 45
Diese super-nützlichen Apps solltest du unbedingt kennen
Die App Photomath zeigt den Lösungsweg von Matheaufgaben. Man richtet die Kamera auf den mathematischen Ausdruck und schon wird das Resultat mit der Schritt-für-Schritt-Lösung auf dem Display angezeigt. Die App hat eine Handschrifterkennung und unterstützt Gleichungssysteme, Logarithmen, Ableitungen, Integrale etc.
Auf Facebook teilenAuf X teilen
Samsung erfindet das Kino neu
Video: srf
Das könnte dich auch noch interessieren:
22 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ahaok
11.04.2019 09:00registriert Januar 2015
"Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen."
Ja gut, es ist schon ein rechter Aufwand welcher hier vom Hacker betrieben wurde. Ich kann mir daher kaum vorstellen das meine Meme-Sammlung wirklich in Gefahr vor unbefugten Personen ist.
Ich glaube auch nicht das irgendjemand mit hoch sensiblen Daten auf dem Handy den Fingerabdruck-Scanner verwendet. Es ist ja schon länger bekannt dass man Fingerabdrücke simulieren kann.
Fazit:hat man wie Ich nichts zu verlieren benutzt man den Fingerabdruck, bei wichtigen Daten benutzt man einen Code
488
Melden
Zum Kommentar
avatar
pun
11.04.2019 08:37registriert Februar 2014
Wir wissen doch seit Jahrzehnten, dass man Fingerabdrücke mit dem nötigen Fachwissen simulieren und platzieren kann. Ich weiss wirklich nicht, wie sich das als Entsperr-Methode Nr. 1 durchsetzen konnte.

Gut, ein 6-stelliger PIN ist verdammt mühsam und wenn man einmal bei der Eingabe von oben gefilmt wurde, ist es auch hinfällig.
302
Melden
Zum Kommentar
avatar
Fuego_1337
11.04.2019 08:36registriert August 2018
Das ist natürlich "relativ" einfach, Herr Schurter. Man braucht ja lediglich einen Fingerabdruck, eine Handy-Kamera, ein Bildbearbeitungsprogramm, eine 3D-Modellierungssoftware (welche man bedienen können muss) und einen 3D-Drucker... sehr einfach....
3410
Melden
Zum Kommentar
22
Meistgelesen
1
243 Millionen-Dollar-Spende: Schweizer Milliardär zieht den Zorn der Republikaner auf sich
2
Leere Staatskassen: Jetzt will Europa die Ersparnisse seiner Bürger anzapfen
3
Das steckt hinter den merkwürdigen Tonband-Anrufen, die Tausende Schweizer erhalten
4
Diese (relativ) einfache Geografie-Frage hätte 125'000 Euro eingebracht, aber ...
5
Teneriffa-Bewohner appellieren an Touristen: «Macht keinen Urlaub auf den Kanaren»
Meistkommentiert
1
Wenn du für den Rest deines Lebens nur noch eine Serie schauen könntest – welche wäre es?
2
Illegale Migranten werden nach Ruanda ausgeschafft – der britische Asylpakt in 5 Punkten
3
Belgier war mit zwei Promille am Steuer – aber er konnte nichts dafür
4
So oft werden queere Lehrpersonen in der Schweiz diskriminiert
5
Picdump 86 – ein Meme kommt selten allein!
Meistgeteilt
1
Ein Jahr nach Krebsdiagnose – so geht es Ex-Biel-Trainer Antti Törmänen
2
Der «Pink Moon» im April: 13 spannende Fakten zum Vollmond
3
Spanien lässt aus Versehen Drogenboss laufen, der Prinzessin Amalia entführen wollte
4
Artur Jorge feiert einzigen Sieg als Nati-Trainer – es ist der Anfang vom schnellen Ende
5
Hamas veröffentlicht neues Geisel-Video ++ Israel mobilisiert Reservisten
Geleakte Details zur Playstation 5 Pro – das wissen wir
Sony wird seine PS5 Pro laut Medienberichten noch 2024 veröffentlichen. Details zur eingebauten Hardware sind ebenfalls durchgesickert.

Sony bereitet sich auf die Einführung einer leistungsstärkeren Version seiner Playstation 5 vor, berichtet das US-Techportal The Verge. Die Konsole könne bereits Ende dieses Jahres auf den Markt kommen, heisst es.

Zur Story