Chaos Computer Club überwindet Fingerabdruck-Sperre TouchID in Apples iPhone 5S
Fingerabdruck statt Passwort: Beim neuen iPhone 5S setzt Apple auf biometrische Merkmale des Nutzers, um das Telefon zu entsperren. Das ist nicht nur aus Datenschutzgründen keine gute Entscheidung, sondern auch unsicher. Mitglieder des Chaos Computer Clubs haben die Sperre nämlich schon überwunden.
Es könnte so einfach sein. Den Finger auf den Sensor, kurz warten, schon entsperrt sich das Telefon. Beim neuen iPhone 5S von Apple passiert genau das, wenn man die Fingerabdruckerkennung aktiviert. Der Abdruck wird gespeichert und schon ist das Telefon sicher vor unbefugtem Zugriff — sollte man meinen. Doch die vermeintlich sichere und komfortable Telefonsperre ist bereits überwunden.
Nur wenige Tage nach Verkaufsstart des iPhone 5S in Deutschland haben die Computerexperten des Chaos Computer Clubs (CCC) das TouchID-System bereits geknackt — mit Hausmitteln. Besonders schwer hatten es die Biometrik-Experten dabei nicht. Sie nutzten eine Technik, die bereits seit Jahren etabliert ist.
Ein von einer Glasoberfläche abfotografierter Fingerabdruck reichte aus, um einen künstlichen Finger herzustellen. Zuerst wird ein Fingerabdruck eines Benutzers von einer Glasoberfläche abfotografiert. Das Bild wird am Computer bereinigt, gespiegelt und mit einem Laserdrucker auf eine transparente Folie gedruckt. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien, so die CCC-Experten, entsteht ein Fingerabdruckbild in dem Material, sodass nach dem Trocknen der gefälschte Fingerabdruck fertig ist. Wenn man diesen Abdruck nun anfeuchtet, kann damit das iPhone entsperrt werden.
Mit der Demonstration verfolgt der CCC ein klares Ziel: „Wir hoffen, daß dies die restlichen Illusionen ausräumt, die Menschen bezüglich biometrischer Sicherheitssysteme haben. Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt“, sagt Frank Rieger, Sprecher des CCC. Biometrie sei nur dazu geeignet, Menschen zu überwachen und sie zu kontrollieren und nicht, um Gebrauchsgegenstände vor unbefugtem Zugriff zu bewahren. Von einer Nutzung des Fingerabdrucksensors des neuen iPhones raten die Computerexperten sehr deutlich ab — und das aus mehreren Gründen.
Der Fingerabdrucksensor im iPhone 5S.
Die CCC-Aktion hat gezeigt, dass ein solches Sicherheitssystem recht einfach überwunden werden kann. Inwiefern durch die Speicherung des Fingerabdrucks im iPhone biometrische Merkmale an US-Sicherheitsdienste gelangen können, ist bislang ebenfalls noch völlig unklar. Doch die Sicherung persönlicher Daten mittels biometrischer Merkmale hat noch weitere Nachteile. Wer zum Beispiel in die USA oder Großbritannien einreist, kann dazu gezwungen werden, Behörden Einblick in auf Computer oder Smartphone gespeicherte Daten zu geben. Auch wer festgenommen wird, aus welchem Grund auch immer, hat bei einem Fingerabdruck-Sicherheitssystem schlechte Karten. Denn anders als Passwörter sind Fingerabdrücke weniger durch das Gesetz geschützt, schreibt Jan-Peter Kleinhans im Blog Netzpolitik.org.
Ein weiterer "Unsicherheitsaspekt" bei der Nutzung von Fingerabdrücken als Identifikationsmerkmal ist die Endlichkeit der Kombinationen. Ein vergessenes oder kompromittiertes Passwort lässt sich mit relativ geringem Aufwand ändern. Fingerabdrücke hat ein Mensch im Optimalfall nur zehn Stück.