Iris-Erkennung bei Samsung Galaxy S8 geknackt
Samsung bewirbt sein Smartphone Galaxy S8 mit einer „besonders sicheren“ Iris-Erkennung. Ein Blick in die Kamera reicht, um sein Smartphone zu entsperren. Der Chaos Computer Club warnt seit Jahren davor, dass biometrische Merkmale die Sicherheit nicht zwingend erhöhen und es deshalb eher fahrlässig ist, biometrische Merkmale zu Zahlungen etc. einzusetzen. Nun hat ein Mitglied des Hacker-Vereins einmal mehr mit einem einfachen Trick demonstriert, wie leicht sich Biometrie tatsächlich aushebeln lässt.
In einem Video wird gezeigt, wie der Sicherheitsforscher starbug, der hauptberuflich als Dokotorand bei der Deutschen Telekom im T-Labs beschäftigt ist, eine Kontaktlinse auf ein Foto von seinem Gesicht legt und damit den Iris-Scanner des Samsung Galaxy S8 austrickst. Er hält dazu lediglich das Foto samt Linse vor die Kamera des Smartphones und das Gerät reagiert darauf. Es entsperrt das Smartphone, obwohl nicht starbug davor sitzt, sondern „nur“ sein Foto samt Kontaktlinse.
Billige Methode
Auf das Foto alleine würde der Iris-Scanner von Samsung freilich nicht reagieren. Das heißt, alleine ein Foto vom Auge reicht nicht. Der Scanner würde in dem Fall erkennen, dass das Bild flach und nicht wie ein Auge gekrümmt ist. Aber mit der Kontaktlinse, die als „Wegwerf“-Tageslinse nur wenige Euro kostet, lässt sich der Scanner des Galaxy S8 problemlos austricksen. Wie genau starbug den Scanner ausgetrickst hat, sieht man in dem Video. Das Foto stammt jedenfalls aus einem herkömmlichen Laser-Drucker. "Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit Abstand der Kauf des Smartphones", heißt es seitens des CCC.
Zwar sind Augenstrukturen ebenso wie Fingerkuppen prinzipiell einzigartig, das bedeutet aber nicht automatisch, dass sie als Zugangssperre von Smartphones oder zur Bestätigung von Geschäftsabwicklungen geeignet sind. Das Problem mit dem Fingerabdruck und dem Auge als biometrisches Authentifizierungsverfahren: Man hinterlässt sie an vielen Orten, ohne es zu merken.
Hohes Sicherheitsrisiko
„Das Sicherheitsrisiko bei der Authentifizierung mithilfe von Augen ist noch größer als bei Fingerabdrücken, weil wir unsere Augen sehr viel öfters herzeigen. Unter solchen Umständen reicht bereits ein hochauflösendes Bild aus dem Internet, um die Sicherheitsvorkehrung auszuhebeln“, erklärt Dirk Engling, ein Sprecher des CCC in einer Pressemitteilung. Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen.
Trotzdem schickt sich die Technologie der Iriserkennung gerade an, in den Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit Bezahllösungen oder mit VR-Systemen gekoppelt. "Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden", so der CCC.