CCC überlistet Apples TouchID
Der Chaos Computer Club hat nur wenige Tage nach dem Verkaufsstart des neuen iPhone 5S den Fingerabdrucksensor und damit Apples TouchID überlistet. Dabei kamen verhältnismäßig einfache Mittel und eine Methode zum Einsatz, die bereits seit Längerem dafür verwendet wird, solche Scanner zu täuschen.
Der Choas Computer Club (CCC) hat nur wenige Tage nach der Veröffentlichung des neuen
iPhone 5S den Fingerabdruckscanner des Gerätes überlistet und damit gezeigt, wie einfach diese Zugangssperre überwunden werden kann.
Auf der eigenen Webseite beschreibt der CCC dabei das Vorgehen und liefert mit einem kurzen Video auch gleich noch einen Videobeweis dazu.
“Die Methode entspricht folgenden Schritten und nutzt Materialen, die in nahezu jedem Haushalt vorhanden sind: Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.“
Diese Methode wurde bereits in der Vergangenheit dazu eingesetzt, ähnliche Scanner zu überlisten. Nach Angaben des CCC verfügt Apples neues iPhone lediglich über einen Scanner mit einer höheren Auflösung, sodass die Auflösung des gefälschten Abdrucks leicht erhöht werden musste. Weitere Änderungen oder ein größerer Aufwand seien nicht notwendig gewesen.
Der CCC warnt erneut eindrücklich davor, sensible Daten durch Sicherheitsmechanismen wie biometrische Merkmale zu schützen. Dies gilt nicht nur, weil diese leicht gefälscht werden können; zudem können Nutzer leichter dazu gezwungen werden, ein Gerät per Fingerabdruck zu entsperren, als einen Pin oder ein Passwort zu verraten.