Iris-Erkennung bei Samsung Galaxy S8 geknackt

Samsung bewirbt sein Smartphone Galaxy S8 mit einer „besonders sicheren“ Iris-Erkennung. Ein Blick in die Kamera reicht, um sein Smartphone zu entsperren. Der Chaos Computer Club warnt seit Jahren davor, dass biometrische Merkmale die Sicherheit nicht zwingend erhöhen und es deshalb eher fahrlässig ist, biometrische Merkmale zu Zahlungen etc. einzusetzen. Nun hat ein Mitglied des Hacker-Vereins einmal mehr mit einem einfachen Trick demonstriert, wie leicht sich Biometrie tatsächlich aushebeln lässt.

In einem Video wird gezeigt, wie der Sicherheitsforscher starbug, der hauptberuflich als Dokotorand bei der Deutschen Telekom im T-Labs beschäftigt ist, eine Kontaktlinse auf ein Foto von seinem Gesicht legt und damit den Iris-Scanner des Samsung Galaxy S8 austrickst. Er hält dazu lediglich das Foto samt Linse vor die Kamera des Smartphones und das Gerät reagiert darauf. Es entsperrt das Smartphone, obwohl nicht starbug davor sitzt, sondern „nur“ sein Foto samt Kontaktlinse.

Billige Methode

Auf das Foto alleine würde der Iris-Scanner von Samsung freilich nicht reagieren. Das heißt, alleine ein Foto vom Auge reicht nicht. Der Scanner würde in dem Fall erkennen, dass das Bild flach und nicht wie ein Auge gekrümmt ist. Aber mit der Kontaktlinse, die als „Wegwerf“-Tageslinse nur wenige Euro kostet, lässt sich der Scanner des Galaxy S8 problemlos austricksen. Wie genau starbug den Scanner ausgetrickst hat, sieht man in dem Video. Das Foto stammt jedenfalls aus einem herkömmlichen Laser-Drucker. "Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit Abstand der Kauf des Smartphones", heißt es seitens des CCC.

Zwar sind Augenstrukturen ebenso wie Fingerkuppen prinzipiell einzigartig, das bedeutet aber nicht automatisch, dass sie als Zugangssperre von Smartphones oder zur Bestätigung von Geschäftsabwicklungen geeignet sind. Das Problem mit dem Fingerabdruck und dem Auge als biometrisches Authentifizierungsverfahren: Man hinterlässt sie an vielen Orten, ohne es zu merken.

Hohes Sicherheitsrisiko

„Das Sicherheitsrisiko bei der Authentifizierung mithilfe von Augen ist noch größer als bei Fingerabdrücken, weil wir unsere Augen sehr viel öfters herzeigen. Unter solchen Umständen reicht bereits ein hochauflösendes Bild aus dem Internet, um die Sicherheitsvorkehrung auszuhebeln“, erklärt Dirk Engling, ein Sprecher des CCC in einer Pressemitteilung. Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen.

Trotzdem schickt sich die Technologie der Iriserkennung gerade an, in den Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit Bezahllösungen oder mit VR-Systemen gekoppelt. "Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden", so der CCC.

Starbug hatte bereits innerhalb von 24 Stunden nach der Einführung der Touch ID im Jahr 2013 beim iPhone 5S den Fingerabdruck-Sensor ausgetrickst. 2016 hat Apple nun auch in die Touch Bar der neuen MacBook Pro seine Fingerabdruckscanner-Technologie integriert. Das Auflegen des Fingers reicht, um sich bei seinem Apple-Laptop anzumelden. Bei seinemVortrag in Wien im Rahmen der "Privacy Week" erzählteder Sicherheitsforscher auch, wie er Gesichtserkennungssoftware ausgetrickst hat.