Analyse
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Analyse

Fingerabdruck auf Glas – so «einfach» lässt sich Samsungs Galaxy S10 knacken

Der neuartige, ins Display integrierte Ultraschall-Finger-Scanner lässt sich mithilfe eines 3D-Druckers überlisten. Doch gehen die Meinungen über die Tragweite des Hacks weit auseinander.



Hat Samsung bei seinem Flaggschiff, dem Galaxy S10, die Sicherheit sträflich vernachlässigt?

Ein Reddit-User konnte offenbar die biometrische Sicherheitsfunktion, die das neue Android-Topmodell schützt, mit relativ einfachen Mitteln hacken.

Alles, was man laut der kürzlich im Internet veröffentlichten Demonstration braucht:

Welche Geräte sind betroffen?

Betroffen sind das Galaxy S10 und das S10 Plus, das sind die ersten und derzeit einzigen Smartphones, die den Ultraschall-Fingerabdrucksensor von Qualcomm im Display haben.

In Zukunft könnten auch Smartphones anderer Hersteller betroffen sein, die den gleichen Sensor verbauen. Der US-Hersteller bezeichnet die biometrische Authentifizierungstechnik «3D Sonic» und verspricht «leistungsstarken Schutz, auch unter extremen Bedingungen». Sie funktioniere präziser und sicherer als bisherige optische Finger-Scanner.

Das Promo-Video von Qualcomm

abspielen

Video: YouTube/Qualcomm Snapdragon

Wo ist das Problem?

Sein «Experiment» werfe ethische Fragen und Bedenken auf, hält der Galaxy-S10-Hacker mit dem Pseudonym «darkshark» fest und warnt Smartphone-User:

«Nichts hindert mich daran, deine Fingerabdrücke zu stehlen, ohne dass du es jemals weisst, dann Handschuhe zu drucken mit deinen Fingerabdrücken, und ein Verbrechen zu begehen.»

Mit dem Angriff wolle er darauf aufmerksam machen, dass auch moderne Fingerabdrucksensoren keine sichere Methode seien, um ein Gerät zu sperren, bzw. abzusichern.

Wenn er das Smartphone von jemandem stehle, seien die Fingerabdrücke des Opfers auf der Glasoberfläche zu finden, gibt der unbekannte Hacker zudem zu bedenken. Einem Dieb fielen also Schlüssel und Schloss in die Hände.

Die meisten Bank-Apps erforderten nur eine Fingerabdruck-Authentifizierung, so dass er das Geld in weniger als 15 Minuten von einem fremden Konti abziehen könne, wenn das Handy nur durch den Fingerabdruck gesichert sei.

Der Hacker trägt für den Angriff einen Plastikhandschuh

Bild

Der Fingerabdruck des Opfers wurde per 3D-Drucker auf den gläsernen Objektträger aufgetragen. screenshot: imgur

Wie ging der Hacker vor?

Die via Reddit und dem Bilderdienst Imgur verbreitete Anleitung lässt praktisch keine Fragen offen.

Bild

Der Ausdruck habe keine Viertelstunde gedauert. screenshot: imgur

Und natürlich habe er den Fingerabdruck, der auf seinen Fotos zu sehen sei, verzerrt, betont der Hacker.

Die deutschen Konsumentenschützer von Stiftung Warentest hatten dem Galaxy S10 gute Noten erteilt. Einziger Kritikpunkt war die automatische Gesichtserkennung. Die lasse sich mit einem Foto des Besitzers viel zu leicht überlisten.

Wir halten fest:

Bild

screenshot: watson

Was lernen wir daraus?

Bisher nutzen in Smartphone-Displays verbaute Fingerabdruck-Scanner einen optischen Sensor, genauer gesagt eine Kamera, die durch das Display leuchtet. Das sei zum Beispiel bei Smartphones wie dem OnePlus 6T oder Huawei Mate 20 Pro der Fall, hält Computer Base fest.

Der von Samsung angepriesene Ultraschall-Fingerabdrucksensor ist laut Werbung sicherer als bisherige optische Finger-Scanner. Dass die ins Display integrierte Nachfolge-Technologie relativ einfach ausgetrickst werden kann, lässt den Lieferanten Qualcomm ziemlich alt aussehen. Auf eine Anfrage von watson hat das US-Unternehmen nicht reagiert.

Bild

screenshot: samsung.com

Aus Konsumentensicht ist klar: Wenn sich ein Gerät von (kriminellen) Dritten relativ einfach entsperren lässt, sollte man ihm keine heiklen Daten anvertrauen – oder muss diese durch andere Vorkehrungen schützen. So gilt es den Zugriff auf Banking- und Kryptowährungs-Apps, aber auch auf private Fotos, zusätzlich durch einen PIN-Code zu schützen.

Wer auf Nummer sicher gehen will, versieht die Display-Sperre wie in alten Zeiten mit einem langen Zahlencode oder – noch besser – einem alphanumerischen Passwort.

Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen.

Im Falle eines Geräte-Verlusts sollten Samsung-User umgehend alle darauf gespeicherten Daten aus der Ferne löschen. Das ist mit der App «Mein Mobilgerät finden» möglich.

Was sagt Samsung?

Nach anfänglichem Schweigen antwortet der koreanische Hersteller mit einer ausführlichen Stellungnahme. Darin wird argumentiert, dass die Angriffsmethode aufwändig sei, also für die meisten User keine echte Gefahr droht:

«Die Methode, mit der der Ultraschall-Fingerabdruckscanner von Samsung entsperrt wurde, erforderte ein professionelles Softwareprogramm, spezifische 3D-Grafikwerkzeuge und 3D-Drucker, um den Fingerabdruck der Person zu simulieren. Eine solch seltene Kombination ist nur schwer herzustellen. Wenn zu irgendeinem Zeitpunkt eine potenzielle Schwachstelle festgestellt wird, werden wir unverzüglich handeln, um das Problem zu untersuchen und zu beheben.»

Zudem verweist Samsung auf umfangreiche interne Prüfungen zur neuartigen biometrischen Technik:

«Der im Display angebrachte Ultraschall-Fingerabdruckscanner des Galaxy S10 bietet eine hohe Sicherheit. Bei der Entwicklung wurden strenge Tests durchgeführt, die ein hohes Mass an Genauigkeit und Sicherheit gewährleisten. Dabei wurden auch Szenarien getestet, z.B. Versuche mit Bildern des Fingerabdrucks einer Person das Smartphone zu entsperren.»

Und jetzt du! (Poll)

Umfrage

Hat Samsung beim Galaxy S10 die Sicherheit vernachlässigt?

  • Abstimmen

640

  • Ja, so ein Hack ist übel50%
  • Nein, das kann jedem Hersteller passieren39%
  • Weiss nicht11%

Quellen:

(via futurezone.at)

Diese super-nützlichen Apps solltest du unbedingt kennen

Samsung erfindet das Kino neu

Play Icon

Mehr zum Galaxy S10 von Samsung

So viel kostet Samsungs Galaxy S10 in Einzelteilen

Link zum Artikel

Samsungs Galaxy S10 ist da! Das sind seine grössten Stärken – und Schwächen

Link zum Artikel

So kannst du beim Kauf des Galaxy S10 bis zu 700 Franken sparen

Link zum Artikel

Allein wegen dieser genialen Hintergrund-Bilder hat das Galaxy S10 schon jetzt gewonnen

Link zum Artikel

Abonniere unseren Newsletter

24
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
24Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • exeswiss 12.04.2019 05:49
    Highlight Highlight je nachdem wie viele finger der user registriert, besteht zudem noch eine 9:1 chance, dass man einen nicht registrierten finger auf dem glas erwischt...
  • Joe Smith 11.04.2019 16:32
    Highlight Highlight Kalter Kaffee, das wusste doch bereits Sean Connery anno 1971.
  • Nik G. 11.04.2019 13:04
    Highlight Highlight Man findet immer eine Schwachstelle, wenn man danach sucht. Die 100% Sicherheit gibt es nicht und wird es nie geben. Schlussendlich ist dies ein Aufwand, den vermutlich Otto-Normal-Verbraucher nie anwenden wird.
  • Influenzer 11.04.2019 11:17
    Highlight Highlight Jede Biometrie kann gehackt werden. Passwörter sind sicher, solange es keine Gehirnscanner gibt.
  • Gubbe 11.04.2019 09:45
    Highlight Highlight Was macht ein Hacker, wenn er meinen Code oder Fingerabdruck hat, aber mein Handy nicht? Kann er da gleichwohl etwas rauslesen?
  • EvilBetty 11.04.2019 09:08
    Highlight Highlight Jaja... von einem Glas... weil man den Fingerabdruck – den man zum Entsperren des mit Fingerabdruck gesicherten Geräts benötigt – bestimmt nicht auf dem Gerät findet, welches mit dem Fingerabdruck entsperrt wird.
    • Astrogator 11.04.2019 18:11
      Highlight Highlight Diese naheliegende Variante wird im Text erwähnt....🙄
  • ahaok 11.04.2019 09:00
    Highlight Highlight "Das unbefriedigende Fazit: Galaxy-S10-User sind gezwungen, zwischen Komfort und Datensicherheit zu wählen."
    Ja gut, es ist schon ein rechter Aufwand welcher hier vom Hacker betrieben wurde. Ich kann mir daher kaum vorstellen das meine Meme-Sammlung wirklich in Gefahr vor unbefugten Personen ist.
    Ich glaube auch nicht das irgendjemand mit hoch sensiblen Daten auf dem Handy den Fingerabdruck-Scanner verwendet. Es ist ja schon länger bekannt dass man Fingerabdrücke simulieren kann.
    Fazit:hat man wie Ich nichts zu verlieren benutzt man den Fingerabdruck, bei wichtigen Daten benutzt man einen Code
  • annego 11.04.2019 08:42
    Highlight Highlight Kann schon sein, dass die Konstellation selten ist, jedoch sind 3D-Drucker schon heute extrem verbreitet und vor allem für jeden zu kaufen. Auch wenn die 3D-Drucker nicht einen richtigen Durchbruch haben werden, werden in Zukunft viele mehr einen haben. Ausserdem ist das vor allem spannend für Leute, die einen gezielten Angriff machen und nun eine Möglichkeit haben, mit wenig Geld das zu machen.
  • pun 11.04.2019 08:37
    Highlight Highlight Wir wissen doch seit Jahrzehnten, dass man Fingerabdrücke mit dem nötigen Fachwissen simulieren und platzieren kann. Ich weiss wirklich nicht, wie sich das als Entsperr-Methode Nr. 1 durchsetzen konnte.

    Gut, ein 6-stelliger PIN ist verdammt mühsam und wenn man einmal bei der Eingabe von oben gefilmt wurde, ist es auch hinfällig.
  • kirishion 11.04.2019 08:36
    Highlight Highlight Wenn ich jemandem den Finger abschneide und damit das Handy entsperre, ist dann auch der Hersteller schuld?

    Eine solche Kopie kommt ja dem fast gleich....
  • Fuego_1337 11.04.2019 08:36
    Highlight Highlight Das ist natürlich "relativ" einfach, Herr Schurter. Man braucht ja lediglich einen Fingerabdruck, eine Handy-Kamera, ein Bildbearbeitungsprogramm, eine 3D-Modellierungssoftware (welche man bedienen können muss) und einen 3D-Drucker... sehr einfach....
  • rolf.iller 11.04.2019 08:33
    Highlight Highlight Übrigens, an Fingerabdrücke kommt man auch einfach per Fotokamera an. Hier haben Hacker die Fingerabdrücke der deutschen Verteidigungsministerin veröffentlicht. Haben einfach an einer Pressekonferenz den Fingerabdruck mit einem 200mm Objektiv fotografiert.

    Play Icon
  • NathanBiel 11.04.2019 08:32
    Highlight Highlight Interessant. Ginge es im Artikel um ein iPhone, dann gäbe jetzt sicher schon mindestens 267 Kommentare...
    • andy y 11.04.2019 11:03
      Highlight Highlight so so
    • ostpol76 11.04.2019 13:34
      Highlight Highlight Wäre ein iPhone betroffen, würde der Titel von Daniel heissen: iPhone nur mit sehr grossem Aufwand hackbar. 😉
    • @schurt3r 11.04.2019 14:35
      Highlight Highlight @ostpol76

      Du musst Hellseher sein.
      Die Gesichtserkennung (Face ID) von Apple ist nur mit sehr grossem Aufwand hackbar 🙃

      Wenn überhaupt! Mir ist seit 2017 und der angeblichen Angriffsmethode aus Vietnam nichts Glaubwürdiges zu Ohren gekommen ...

      https://www.watson.ch/!493637522

      Siehe auch diese Meldung vom Januar 2019:
      https://bit.ly/2IcIAPi
      (Reuters, via heise.de)
    Weitere Antworten anzeigen
  • fdsa 11.04.2019 08:27
    Highlight Highlight Logisch ist es nicht optimal, aber alle Sicherheitsfeature können umgangen werden. Niemand ist interessiert daran, Hans Muster zu hacken. Als CEO einer internationalen Firma sollte man evt. auf ein Blackberry zurückgreifen, aber als Normalbürger ist das kein Problem. Zudem muss man immer Kosten und Nutzen anschauen. Ein 3D-Drucker, der Mikrometer genau drucken kann, kostet mehrere 1000 CHF.
    • rolf.iller 11.04.2019 10:52
      Highlight Highlight Wow Blackberry hat immer noch das Image, "sicher" zu sein. Sorry ist mittlerweile auch ein Android, wie alle anderen auch. Die kochen mit demselben Wasser, auch wenn da im Prospekt noch was von sicher steht.
    • fdsa 11.04.2019 11:43
      Highlight Highlight Stimmt, aber Blackberry ist trotzdem sicherer als andere grosse Hersteller. Am besten ein Smartphone bestellen und anschliessend Linux installieren, um alles selber zu konfigurieren. Welches Linux ist jedem selber überlassen🤷‍♂️

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der Post, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.

Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Post verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter: «Vorsicht: Betrüger versenden gerade gefälschte E-Mails im Namen von @postschweiz mit dem Ziel, Computer von Bürgerinnen und Bürgern mit dem E-Banking Trojaner Retefe zu infizieren! Melden Sie verdächtige E-Mails an reports@antiphishing.ch oder auf antiphishing.ch»

Retefe ist ein bekannter Trojaner, der …

Artikel lesen
Link zum Artikel