Video: Hacker rekonstruieren Fingerabdruck aus Fotos
Beeindruckende Machbarkeitsstudie. Auf dem diesjährigen Chaos Communication Congress – wenn ihr unseren Links gefolgt seid, habt ihr den Vortrag „Ich sehe, also bin ich… Du“ wahrscheinlich live mitverfolgt – haben Hacker demonstriert, dass sich bereits hochauflösende Fotos als ausreichend für den Nachbau einzelner Fingerabdrücke erweisen. Das Testobjekt: Ursula von der Leyen.
Zusammen mit Jan Krissler und Tobias Fiebig demonstrierte CCC-Mitglied Starbug, dass zur bekannten Vorlagenfertigung einer TouchID kompatiblen Fingerabdruck-Attrappe schon ein Foto der offenen Hände ausreicht.
Geknipst auf der Bundespressekonferenz, könnten die Kongressteilnehmer die Fingerabdrücke aus dem Bild extrahieren und mit der Software VeriFinger in ein plastisches Modell umwandeln. Kai Biermann berichtet:
„Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei“, sagt Krissler. „Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.“ Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten.
Der Vortrag lässt sich auf dem Streaming-Portal des 31C3 oder direkt auf Youtube nachschauen.
(Direkt-Link)
Creepy…
Nicht mehr lange, dann kommt der Retina-Augen-Scanner….
Wurde vom CCC auch bereits als nutzlos eingestuft: es reichte ein einfaches Foto des Auges um so ein Scanner zu überlisten.
Das waren aber Iris-Sanner, nicht Retina-Scanner, wenn mich nicht alles täuscht…
„Ja, und?“ wird sich dann der Hacker denken. –> http://computer-oiger.de/2014/.....erin/32601
Absolute Sicherheit wird es nie geben. Nur ein _verhältnismäßig_ geringeres Risiko, wenn man zu den angebotenen Features nicht den Kopf zu benutzen vergisst. ;)
Es gibt aber einen Unterschied zwischen absolut Fälschungssicher und total einfach zu fälschen. Da ist ja ein vierstelliger PIN Code noch sicherer. Den kann man wenigstens nicht fotografieren;-)
@Grufty
Irrtum! Das geht sogar noch viel einfacher und schneller!
OMG ich sollte sofort alle meine Fingerselfies von Facebook löschen :)
Nichts ist „unhackeble“
richtig, auch Finger lassen sich ab-hacken ;)
Jedes System lässt sich mit entsprechendem Aufwand aushebeln. Hier braucht man das Originalgerät, ein passenden Foto und einiges an Bastelei. Wenn man also sein iPhone nicht rumliegen lässt, ausserdem ein Foto von seinen Händen bereitstellt und der Klauer die Musse findet, die Basteien zu machen, kann ich nicht sehen, dass die TouchID damit definitiv ausgehebelt ist. Die Fingerabdruckdaten sind ja nur auf jedem iPhone selber – auf einem anderem Gerät nutzen sie ja nichts.
Die Fingerabdrücke sind überall auf dem Handy, dem Cover, und darunter.
daher nimmt man den kleinen finger für touch id –
dann gibts den – bei normaler nutzung – an keiner deiner angegebenen stellen :-p
natürlich nur dann, wenn man sicherheit ganz groß schreibt B-)
Man sollte bei den ganzen Erkenntnissen aber nicht außer Acht lassen, dass wohl kaum ein solcher Aufwand bei Personen betrieben wird, die kaum oder gar nicht im öffentlichen Interesse stehen. Wer ein iPhone mit TouchID findet, wird wohl kaum anschließend die Stadt nach dem Besitzer absuchen, nur um die Finger zu fotografieren oder ihn zum Hinterlassen eines Fingerabdrucks auf einer glatten Oberfläche zu überreden. Alles in allem ist TouchID für gängige Nutzer noch immer sehr sicher. Erst recht in Kombination mit Passcode und Find My iPhone.
im Business-Bereich gibt es aber auch viele Laptops, welche durch Fingerscanner gesperrt werden. Wirtschaftsspionage kann sehr wahrscheinlich eine höhere Motivation für solche „Hacks“ sein.
Bei allen Unternehmen, die ich kenne, ist aber auch die Benutzung des Fingerabdruckscanners bei Laptops als alleiniger Entsperrfaktor per Security Policy aus genau diesem Grund verboten.
Meinst du auf einer glatten Oberfläche wie dem iPhone?
Das System hilft, wenn man nicht möchte, dass jemand sich mal schnell dein Handy schnappt und Blödsinn damit macht. Wer wichtige Dinge da drauf hat, für die sich etwas Aufwand lohnt, der sollte etwas sichereres wählen.
An die „nörgler“, der CCC will damit aufzeigen dass ein Fingerabdruck alles andere als sicher ist.
Natürlich – nichts ist wirklich sicher, mich interessiert allerdings ob etwas ausreichend sicher im täglichen Gebrauch ist. Wenn man will kann man auch meine Telefonate abhören oder meine Mails screenen – und zwar mit weniger Aufwand.
Jup und Individuell ist er auch nicht, eineiige Zwillinge haben oft den gleichen Fingerabdruck, die Iris ist jedoch immer noch anders dann. Es sind auch noch keine Fall bekannt wo eineiige Zwillinge die gleiche Iris haben.
Resultat ist wer es wirklich sicher will muss auf 4 Sachen setzten:
IRIS Scaner
Fingerabdruck Scanner
DNA Check
Code / Passwort
Hab nur nicht wirklich Lust das alles am privaten iPhone, iPad oder Mac haben. Komfortabel ist es nämlich dann nicht mehr.
Stimmt nicht… Zwillinge haben Nie denselben Fingerabdruck (nicht alles glauben, was bei Orphan Black erzählt wurd) … Durchaus kann er aber ähneln…
wie kann man nur so nen bockmist verbreiten?!
fingerabdrücke sind niemals identisch
ähneln tun sie sich nur in sachen der z.b. schleifenmuster…
das ist niemals annähernd identisch
damit bekommt der Fingerabdruck, auf dem neuen Personalausweis, eine ganz neue Bedeutung…
Durchaus interessant.
Ebenso, dass es wohl immer noch in ist sein Notebook mit seltsamen Stickern zu bekleben und sich aussprechbare Namen zu geben.
Abgesehen von der Aussage des Stickers selbst, ist er eine gute Abschreckung gegen Langfinger.
Geräte ohne Sticker drauf verkaufen sich sehr viel besser!
Jetz wissen wir, wieso merkel immer die hände wie Mr.Burns hält… So kann sie keiner abfotografieren !
Bedenken habe ich nur bei derlei Meldungen, dass bei einem „normalen“ Benutzer, der sich nicht mit der Materie auseinandersetzt die Meinung bildet: „Aha, Fingerabdruck ist auch nicht sicher, meinen Passcode kann man auch austricksen – also lass ich das Ganze überhaupt und macht mirs bequem, indem ich auf Sicherungen überhaupt verzichte.“ Ob damit dann der Zweck der Übung erreicht wird??
Lieber auf diesen ganzen quatsch verzichten und mal wieder mit Bargeld bezahlen !
stimmt – das ist ja fälschungssicher :-p
ironie ende
Der normale Nutzer weiß in dem Fall immerhin, wie unsicher sein Gerät ist.
Trügerische Sicherheit ist meiner Meinung nach viel schlimmer.
Was ist denn schlimm daran, wenn ich mein Handy nicht sichere?
Handlinien Solen noch sicher sein, entsprechende Scanner gibt es. Werden zB in Frankreich für gewisse Prüfungen zur Identitätsfeststellung verwendet.
Video gesehen? Nein, dann würdest du dies nicht behaupten.
Ich halte TouchID für extrem sicher. Der gewöhnliche Dieb oder Finder wird keine hochauflösenden Fotos aller meiner Finger haben, geschweige denn solche immer noch komplizierten und Zeitaufwändigen Bastleien mit völlig ungewissem Erfolgsausgang veranstalten.
Ich denke wir sprechen hier von der Ebene der Geheimdienste, evtl. noch der Polizei.
Z.B. in der USA kann man dich dazu zwingen, dass du Dinge mit deinem Fingerabdruck entsperrst. Und alle Finger? Nur von dem Finger, der gebraucht wird (wir oft wird wohl Daumen oder Zeigefinger gehen?).
Einfach 5mal mit dem falschen Finger zu entsperren versuchen und schon muss man den Code eingeben. Oder schnell noch vorher ausschalten. Und den Code dürfen sie zumindest in den USA nicht von Dir verlangen.
Schon einmal daran gedacht, dass sie dich zwingen alle 5 Finger auszuprobieren? Und dann?
Zum glück sind deine fingerabdrücke nicht auf dem ganzen iphone verteilt…
Wenn das so einfach ist, ist der Finerabdruck dann bei der Polizei noch als Beweismittel zulässig?
Das ist mal eine berechtigte Frage!
Waren dies jemals Beweismittel? Sie waren doch immer nur Indizien.
Dieses ständige aufzeigen das bei Apple ja ( Achtung Ironie ) nur Deppen arbeiten geht mir auf’n Sack! Vorgetäuschte Sicherheit, na klar! BMW sollte auch auf Schlüssel und Türschlösser verzichten. Bringt eh nix! Und die CCC Typen parken bestimmt in einer Garage ,welche dann verschlossen wird. Der Schlüssel kommt in einen Safe , dessen Schlüssel wiederum bringen die dann zum Nachbarn! Und der Safe Zahlencode ändert sich alle 24std. Na merkt ihr was ihr , alles Blödsinn Nörgler! ; -)
Vielleicht geht es einfach darum noch deutlicher zumachen das TouchID (bzw. jeder Fingerabdruckscanner) kein Sicherheitsmerkmal sondern ein Komfortmerkmal ist, dass zusätzliche Sicherheit nur vortäuscht. Oder ist die Kognitive Dissonanz schon so stark, dass jede Kritik an Apple bzw an Fingerabdruckscanner schon als Paranoid abgetan wird?
Nein, Apple hat nie Sicherheit vorgetäuscht. Wenn du die Keynote gesehen hättest (von Apple direkt!), dann wüsstest du, dass sie zur Touch ID gesagt hätten, dass es sicherer sei als überhaupt nicht zu sichern oder nur mit 4 Nummern abzusichern (wozu ich auch gehöre – mit dem Unterschied, dass ich bei 1password ein kompliziertes Passwort verwende und dort nie diese angeblich bequeme Touchs-ID-Entsperrfunktion für die App nutze). Wenn du den Laberer außerhalb Apple glaubst, ist es dein Problem!
Das müssen Schmerzen sein.
Warum macht man nicht Spracherkennung??
Heut zu tage lässt sich so gut wie jedes Biometrische Merkmal kopieren. So lassen sich Stimmen in excellenter Qualität aufnehmen und mit entsprechender Software simulieren. Da eine Stimme nicht immer gleich klingt muss die Spracherkennung mit Toleranzen arbeiten, was wiederum ein Angriffspunkt bietet.
Frage
Hat CCC den Touch ID mit dem Bild überlistet wo ist der Videobeweise ???
Den ustcschon schuldig geblieben oder?
Versuchs nochmal in Ruhe!
It’s worth noting that at this point, Krissler has not yet demonstrated an ability to combine the two approaches by using a photographed fingerprint to fool Touch ID, and that even if he is able to do so, the attack method is non-trivial. Last year’s video demonstrating the approach showed that it required 30 hours of work to pull off the first time, and would likely take several hours subsequently.
War doch auch im Tatort gestern so gehandhabt.
Ich lächele nur sanft darüber. Sogar im ersten Semester lernen wir, und das ist gesunder Menschenverstand, dass man möglichst immer zwei oder mehr Credentials benutzen sollte und erst die Kombination aus allen richtigen zum Ergebnis führt.
Na mal schauen wo die Reise hin geht. Zweistufiger Login ist schonmal ein Schritt in die richtige Richtung.
Das sicherste biometrische System ist derzeit die Handvenenerkennung. Siehe dazu INTUS PS http://www.pcs.com
Siehe Video: Nein!