Fingerabdruck in Android-Phones lässt sich umgehen

Sicherheitsforscher der Universität Zhejian konnten die Fingerabdrucksperre bei Android-Smartphones überwinden. Ganz so einfach ist der als "BrutePrint" bekannte Exploit allerdings nicht, vernachlässigen sollte man ihn trotzdem nicht.

Zusätzliche Hardware nötig

Bei dem Angriff muss das Smartphone geöffnet und zusätzliche Hardware angeschlossen werden. Für Diebe ist so ein Angriff wohl nicht sehr interessant, Ermittlungsbehörden könnten die Methode allerdings nutzen, um an private Daten zu gelangen.

Der Angriff lässt sich dabei in mehrere Phasen unterteilen, wie die Forscher in ihrer Studie schrieben. Zunächst muss die Anzahl der Versuche erhöht werden, wie oft man einen falschen Fingerabdruck eingeben kann. Die Forscher*innen nutzen dabei 2 unterschiedliche Fehler, mit denen diese Begrenzung aufgehoben werden kann.

Fingerabdrücke aus Datenbank

Anschließend wird die Kommunikation zwischen dem Fingerabdrucksensor und dem Prozessor gekapert und manipuliert. So können automatisiert Fingerabdrücke aus einer Datenbank nacheinander ausgetestet werden.

➤ Mehr lesen: Lücke: Hacker können 11 Prozent aller Smartphones weltweit lahmlegen

Alle 10 getesteten Android-Smartphones konnten auf diese Weise gehackt werden, darunter auch ein Samsung Galaxy S10+ und das Xiaomi Mi11 Ultra. Apple-Geräte wie das iPhone SE oder das iPhone 7 hielten der Attacke hingegen stand. 

Laut den Forschern können die Schwachstellen durch Firmwareupdates behoben werden. Außerdem funktionierte der Angriff nicht, wenn das Smartphone zuvor ausgeschaltet war. Beim Start wird nämlich meistens ein PIN-Code oder ein Entsperrmuster benötigt, der durch diese Methode nicht geknackt werden kann.