Forscher: HTC speichert Fingerabdrücke unverschlüsselt ab

Zahlreiche moderne High-End-Smartphones sind mit Fingerabdrucklesern ausgestattet. So soll das Gerät rasch entsperrt oder Zahlungen in Apps bestätigt werden. Eigentlich praktisch, doch die biometrische Sicherheitsmaßnahme wird immer wieder als unsicher kritisiert. So jetzt auch vom IT-Sicherheitsunternehmen FireEye, das eine schwerwiegende Lücke beim HTC One Max entdeckt hat. Dabei wurden die aufgenommenen Fingerabdrücke in einem öffentlich abrufbaren Ordner im BMP-Format auf dem Smartphone gespeichert.

Die Angreifer hätten leichtes Spiel, sie müssten lediglich die Datei kopieren und mit einem Ausdruck für den Scanner lesbar machen. Da der Fingerabdruck bei jedem erfolgreichen Entsperrversuch neu abgespeichert wird, kann der Angreifer sogar seine Datenbank ausbauen und ein Portfolio an verschiedenen Aufnahmen speichern. Umgekehrt sei es so ebenfalls möglich, seinen eigenen Fingerabdruck einzuschleusen und sich Zugang zum Gerät zu verschaffen.

2019: 50 Prozent aller Smartphones mit Fingerabdrucksensor

Die vier Sicherheitsforscher kritisieren aber nicht nur HTC, die meisten Hersteller würden ARMs „TrustZone“-Verschlüsselung nicht nutzen, um biometrische Daten wie Gesicht, Fingerabdruck oder Retina zu sichern. Bei Geräten mit Root sei dieser Schutz aber nicht mehr gegeben, auch wenn „TrustZone“ implementiert wurde. Bis 2019 soll in jedem zweiten Smartphone ein Fingerabdrucksensor verbaut sein.