
Warum Bezahlen per Selfie und Fingerabdruck nicht sicher ist
Dieser Artikel ist älter als ein Jahr!
„Wer mich kennt, weiß: Ich mache schon seit einiger Zeit gerne Biometriesysteme kaputt.“ So eröffnete starbug vom Chaos Computer Club (CCC) seinen Vortrag zum Thema „Passwort, Chip oder Biometrie?“ auf der Privacy Week des Chaos Computer Club Wiens, die vergangene Woche in Wien stattgefunden hat.
Schon die Einführung der Touch ID im Jahr 2013 beim iPhone 5S erfreute die Hacker des CCC nicht sonderlich, weil sie befürchteten, dass nach Apple auch viele andere Hersteller auf biometrische Merkmale zur Authentifizierung setzen würden. Apples Touch ID-System konnte von starbug innerhalb von 24 Stunden nach Erscheinen der neuen Technologie ausgehebelt werden.
Starbug's Touch ID Attack. from Nick De on Vimeo.
Touch ID von Apple
2016 hat Apple nun auch in die Touch Bar der neuen MacBook Pro seine Fingerabdruckscanner-Technologie integriert. Das Auflegen des Fingers reicht, um sich bei seinem Apple-Laptop anzumelden. Touch ID kann auch genutzt werden, um Zahlungen bzw. Käufe zu bestätigen. Apple-Chef Tim Cook kündigte im selben Atemzug an, das Bargeld abschaffen zu wollen.
Starbug ist sich sicher, dass auch das Touch ID-System am MacBook Pro relativ schnell geknackt werden kann. „Ich habe es zwar noch nicht am neuen Sensor im MacBook ausprobiert, denke aber, dass das, was im Video (siehe oben) gezeigt wird, am ehesten funktionieren würde“, so starbug zur futurezone.
Man hinterlässt Spuren

© Jürgen Haslauer
Dazu sei nicht viel technischer Aufwand notwendig. „Man kauft um zwei Euro eine Flasche Sekundenkleber und kann das machen, was Polizisten mit den Pinseln machen: Die Fettrückstände des Fingerabdrucks sichtbar machen. Das reicht für ein hochkontrastreiches Foto“, erklärte starbug. Danach nehme man eine Digitalkamera und einen Laserdrucker zum Erstellen einer Folienvorlage, etwas Holzleim und fertig sei die Fingerabdruck-Attrappe, mit der man die Systeme überlisten könne. Diese müsse man nur noch vorsichtig auf seinem eigenen Finger anbringen, so der Hacker.
Gesichtserkennung
„Beim iPhone Touch ID-Hack hat das allerdings nicht gereicht mit der Folie. Das war schon etwas aufwendiger“, so starbug. Mit den immer wieder kehrenden Veröffentlichungen zu dem Thema weist starbug regelmäßig auf die grundsätzlichen Risiken biometrischer Systeme hin. An den Fingerabdruck von Ursula von der Leyen kamen die Hacker etwa ganz einfach via Handy-Kamera. Der Fingerabdruck ist für ihn aber nicht das einzige biometrische Merkmal, das unsicher ist.
„Die meisten Gesichtserkennungssysteme, die ich mir angesehen habe, waren erschreckend, was die Sicherheit betrifft. Das Sicherheitsrisiko, dass sich keine echte Person vor der Gesichtserkennungskamera befindet, versuchen viele Hersteller durch Bewegen des Kopfes oder Blinzeln in den Griff zu bekommen. Dadurch soll verhindert werden, dass einfach ein Foto vor die Kamera gehalten wird“, so starbug. „Das ist zwar prinzipiell eine gute Idee, aber nicht sicher.“
Stabilo-Stift zum Blinzeln
Starbug hatte auch diese Art der Gesichtserkennung relativ rasch ausgetrickst. Alles, was dazu notwendig war, war ein Stabilo-Stift, den er vor das Foto gehalten hatte und mit dem er im richtigen Takt vor dem Bild herumgewedelt hatte. „Das System hat erkannt, dass es kurz schwarz vor den Augen der betroffenen Person war und das als Blinzeln identifiziert. Schon war der Rechner freigeschalten“, sagte starbug.
Dies ist besonders gefährlich im Hinblick auf die Einführung des Bezahlens per Gesichtserkennung. MasterCard hatte vor kurzem ihre App angekündigt, durch die es Kunden möglich wird, per Selfie zu bezahlen. Laut dem Kreditkartenanbieter will man Betrug durch Blinzeln verhindern. Umso bedenklicher ist es also, wenn derartige Systeme mit einem Foto und Stabilo-Stift ausgetrickst werden können. Auf die Frage an starbug, wie man künftig beweisen könne, dass man Zahlungen nicht getätigt habe, sagte der Experte: „Das wird schwierig, nachzuweisen. Man braucht sozusagen ein Alibi.“
Live-Bewegungen
Bei manchen Systemen reicht das Blinzeln als Sicherheitsmerkmal nicht mehr aus, sondern man muss das gesamte Gesicht bewegen. Doch selbst diese Maßnahme wurde bereits von Experten als nicht sicher erachtet. „Man kann einem System auch hier Gesten vortäuschen“, erklärte starbug und verwies auf ein Video der Stanford-Universität zum Thema „Realtime Expression Transfer for Facial Reenactment“.

© Jürgen Haslauer
Venen-Scans und Passwörter
„Man hinterlässt Spuren von fast allen biometrischen Merkmalen“, so starbug. Das einzige biometrische System, bei dem dies nicht der Fall sei, sei der Venen-Scan. „Es ist ein Merkmal, das IM Körper liegt. Da muss man schon sehr viel mehr Aufwand betreiben, um Merkmale zu extrahieren. Es ist noch am ehesten das System, das ich empfehlen würde, weil man nicht so einfach an die Daten herankommt.“ Möglich wäre zudem, verschiedene biometrische Merkmale miteinander zu kombinieren.
Starbug selbst vertraut aber am ehesten noch immer den guten, alten Passwörtern. Doch auch hier gilt: „Nicht nur sichere Passwörter wählen, sondern auch bei der Passwort-Eingabe aufpassen!“ Denn auch hier ist ein Mitlesen der Passwörter auf verschiedene Art möglich. Alleine über die Reflektion eines Smartphone-Kamera-Displays lässt sich in etwa 90 Prozent der Fälle schon beim ersten Versuch feststellen, was für Tasten gerade bei der PIN-Eingabe gedrückt werden. „Wenn jemand gezielt angegriffen wird, wird es auch beim Passwort gelingen, die Eingabe herauszufinden“, meinte der Experte.
Kommentare