iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 410 Artikel
   

Video: Hacker rekonstruieren Fingerabdruck aus Fotos

Artikel auf Mastodon teilen.
53 Kommentare 53

Beeindruckende Machbarkeitsstudie. Auf dem diesjährigen Chaos Communication Congress – wenn ihr unseren Links gefolgt seid, habt ihr den Vortrag „Ich sehe, also bin ich… Du“ wahrscheinlich live mitverfolgt – haben Hacker demonstriert, dass sich bereits hochauflösende Fotos als ausreichend für den Nachbau einzelner Fingerabdrücke erweisen. Das Testobjekt: Ursula von der Leyen.

abdruck

Zusammen mit Jan Krissler und Tobias Fiebig demonstrierte CCC-Mitglied Starbug, dass zur bekannten Vorlagenfertigung einer TouchID kompatiblen Fingerabdruck-Attrappe schon ein Foto der offenen Hände ausreicht.

Geknipst auf der Bundespressekonferenz, könnten die Kongressteilnehmer die Fingerabdrücke aus dem Bild extrahieren und mit der Software VeriFinger in ein plastisches Modell umwandeln. Kai Biermann berichtet:

„Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei“, sagt Krissler. „Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.“ Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten.

Der Vortrag lässt sich auf dem Streaming-Portal des 31C3 oder direkt auf Youtube nachschauen.

(Direkt-Link)

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
29. Dez 2014 um 09:38 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    53 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Nicht mehr lange, dann kommt der Retina-Augen-Scanner….

  • OMG ich sollte sofort alle meine Fingerselfies von Facebook löschen :)

  • Jedes System lässt sich mit entsprechendem Aufwand aushebeln. Hier braucht man das Originalgerät, ein passenden Foto und einiges an Bastelei. Wenn man also sein iPhone nicht rumliegen lässt, ausserdem ein Foto von seinen Händen bereitstellt und der Klauer die Musse findet, die Basteien zu machen, kann ich nicht sehen, dass die TouchID damit definitiv ausgehebelt ist. Die Fingerabdruckdaten sind ja nur auf jedem iPhone selber – auf einem anderem Gerät nutzen sie ja nichts.

  • Man sollte bei den ganzen Erkenntnissen aber nicht außer Acht lassen, dass wohl kaum ein solcher Aufwand bei Personen betrieben wird, die kaum oder gar nicht im öffentlichen Interesse stehen. Wer ein iPhone mit TouchID findet, wird wohl kaum anschließend die Stadt nach dem Besitzer absuchen, nur um die Finger zu fotografieren oder ihn zum Hinterlassen eines Fingerabdrucks auf einer glatten Oberfläche zu überreden. Alles in allem ist TouchID für gängige Nutzer noch immer sehr sicher. Erst recht in Kombination mit Passcode und Find My iPhone.

    • im Business-Bereich gibt es aber auch viele Laptops, welche durch Fingerscanner gesperrt werden. Wirtschaftsspionage kann sehr wahrscheinlich eine höhere Motivation für solche „Hacks“ sein.

      • Bei allen Unternehmen, die ich kenne, ist aber auch die Benutzung des Fingerabdruckscanners bei Laptops als alleiniger Entsperrfaktor per Security Policy aus genau diesem Grund verboten.

    • Meinst du auf einer glatten Oberfläche wie dem iPhone?
      Das System hilft, wenn man nicht möchte, dass jemand sich mal schnell dein Handy schnappt und Blödsinn damit macht. Wer wichtige Dinge da drauf hat, für die sich etwas Aufwand lohnt, der sollte etwas sichereres wählen.

  • An die „nörgler“, der CCC will damit aufzeigen dass ein Fingerabdruck alles andere als sicher ist.

    • Natürlich – nichts ist wirklich sicher, mich interessiert allerdings ob etwas ausreichend sicher im täglichen Gebrauch ist. Wenn man will kann man auch meine Telefonate abhören oder meine Mails screenen – und zwar mit weniger Aufwand.

    • Jup und Individuell ist er auch nicht, eineiige Zwillinge haben oft den gleichen Fingerabdruck, die Iris ist jedoch immer noch anders dann. Es sind auch noch keine Fall bekannt wo eineiige Zwillinge die gleiche Iris haben.

      Resultat ist wer es wirklich sicher will muss auf 4 Sachen setzten:
      IRIS Scaner
      Fingerabdruck Scanner
      DNA Check
      Code / Passwort

      Hab nur nicht wirklich Lust das alles am privaten iPhone, iPad oder Mac haben. Komfortabel ist es nämlich dann nicht mehr.

      • Stimmt nicht… Zwillinge haben Nie denselben Fingerabdruck (nicht alles glauben, was bei Orphan Black erzählt wurd) … Durchaus kann er aber ähneln…

      • wie kann man nur so nen bockmist verbreiten?!

        fingerabdrücke sind niemals identisch

        ähneln tun sie sich nur in sachen der z.b. schleifenmuster…
        das ist niemals annähernd identisch

  • damit bekommt der Fingerabdruck, auf dem neuen Personalausweis, eine ganz neue Bedeutung…

  • Durchaus interessant.
    Ebenso, dass es wohl immer noch in ist sein Notebook mit seltsamen Stickern zu bekleben und sich aussprechbare Namen zu geben.

  • Jetz wissen wir, wieso merkel immer die hände wie Mr.Burns hält… So kann sie keiner abfotografieren !

  • Bedenken habe ich nur bei derlei Meldungen, dass bei einem „normalen“ Benutzer, der sich nicht mit der Materie auseinandersetzt die Meinung bildet: „Aha, Fingerabdruck ist auch nicht sicher, meinen Passcode kann man auch austricksen – also lass ich das Ganze überhaupt und macht mirs bequem, indem ich auf Sicherungen überhaupt verzichte.“ Ob damit dann der Zweck der Übung erreicht wird??

  • Handlinien Solen noch sicher sein, entsprechende Scanner gibt es. Werden zB in Frankreich für gewisse Prüfungen zur Identitätsfeststellung verwendet.

  • Ich halte TouchID für extrem sicher. Der gewöhnliche Dieb oder Finder wird keine hochauflösenden Fotos aller meiner Finger haben, geschweige denn solche immer noch komplizierten und Zeitaufwändigen Bastleien mit völlig ungewissem Erfolgsausgang veranstalten.
    Ich denke wir sprechen hier von der Ebene der Geheimdienste, evtl. noch der Polizei.

    • Twittelatoruser

      Z.B. in der USA kann man dich dazu zwingen, dass du Dinge mit deinem Fingerabdruck entsperrst. Und alle Finger? Nur von dem Finger, der gebraucht wird (wir oft wird wohl Daumen oder Zeigefinger gehen?).

      • Einfach 5mal mit dem falschen Finger zu entsperren versuchen und schon muss man den Code eingeben. Oder schnell noch vorher ausschalten. Und den Code dürfen sie zumindest in den USA nicht von Dir verlangen.

      • Twittelatoruser

        Schon einmal daran gedacht, dass sie dich zwingen alle 5 Finger auszuprobieren? Und dann?

    • Zum glück sind deine fingerabdrücke nicht auf dem ganzen iphone verteilt…

  • Wenn das so einfach ist, ist der Finerabdruck dann bei der Polizei noch als Beweismittel zulässig?

  • Dieses ständige aufzeigen das bei Apple ja ( Achtung Ironie ) nur Deppen arbeiten geht mir auf’n Sack! Vorgetäuschte Sicherheit, na klar! BMW sollte auch auf Schlüssel und Türschlösser verzichten. Bringt eh nix! Und die CCC Typen parken bestimmt in einer Garage ,welche dann verschlossen wird. Der Schlüssel kommt in einen Safe , dessen Schlüssel wiederum bringen die dann zum Nachbarn! Und der Safe Zahlencode ändert sich alle 24std. Na merkt ihr was ihr , alles Blödsinn Nörgler! ; -)

    • Vielleicht geht es einfach darum noch deutlicher zumachen das TouchID (bzw. jeder Fingerabdruckscanner) kein Sicherheitsmerkmal sondern ein Komfortmerkmal ist, dass zusätzliche Sicherheit nur vortäuscht. Oder ist die Kognitive Dissonanz schon so stark, dass jede Kritik an Apple bzw an Fingerabdruckscanner schon als Paranoid abgetan wird?

      • Twittelatoruser

        Nein, Apple hat nie Sicherheit vorgetäuscht. Wenn du die Keynote gesehen hättest (von Apple direkt!), dann wüsstest du, dass sie zur Touch ID gesagt hätten, dass es sicherer sei als überhaupt nicht zu sichern oder nur mit 4 Nummern abzusichern (wozu ich auch gehöre – mit dem Unterschied, dass ich bei 1password ein kompliziertes Passwort verwende und dort nie diese angeblich bequeme Touchs-ID-Entsperrfunktion für die App nutze). Wenn du den Laberer außerhalb Apple glaubst, ist es dein Problem!

      • Das müssen Schmerzen sein.

    • Heut zu tage lässt sich so gut wie jedes Biometrische Merkmal kopieren. So lassen sich Stimmen in excellenter Qualität aufnehmen und mit entsprechender Software simulieren. Da eine Stimme nicht immer gleich klingt muss die Spracherkennung mit Toleranzen arbeiten, was wiederum ein Angriffspunkt bietet.

  • Frage
    Hat CCC den Touch ID mit dem Bild überlistet wo ist der Videobeweise ???
    Den ustcschon schuldig geblieben oder?

  • It’s worth noting that at this point, Krissler has not yet demonstrated an ability to combine the two approaches by using a photographed fingerprint to fool Touch ID, and that even if he is able to do so, the attack method is non-trivial. Last year’s video demonstrating the approach showed that it required 30 hours of work to pull off the first time, and would likely take several hours subsequently.

  • Suicide27Survivor(iPhone)
  • Ich lächele nur sanft darüber. Sogar im ersten Semester lernen wir, und das ist gesunder Menschenverstand, dass man möglichst immer zwei oder mehr Credentials benutzen sollte und erst die Kombination aus allen richtigen zum Ergebnis führt.
    Na mal schauen wo die Reise hin geht. Zweistufiger Login ist schonmal ein Schritt in die richtige Richtung.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38410 Artikel in den vergangenen 6252 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven