Wie sicher sind die Fingerabdrucksensoren in Smartphones wirklich?

Fingerabdrucksensoren in Smartphones

Sie sollen für die nächste Stufe der Sicherheit in mobilen Geräten sorgen: Sensoren, die das Fingerabdruckprofil des Besitzers erkennen. Doch wie sicher sind dieses Systeme wirklich und bestehen eventuell Sicherheitslücken?

Das Prinzip eines Fingerabdrucksensors ist recht simpel. Das Profil eines Fingerabdrucks wird gespeichert und dient fortan zum Entsperren des Mobiltelefons. Zugrunde gelegt wird die Einzigartigkeit des Fingerabdruckprofils. Viele große Hersteller von Smartphones, Notebooks und ähnlichen mobilen Geräten setzen bereits auf diese Technik. Es werden vor allem die Vorteile in den Vordergrund gestellt. Das System ist einfach zu bedienen und Nutzer müssen sich keine Passwörter oder eine PIN merken. Dank der Einzigartigkeit des Fingerabdrucks ist laut den Unternehmen das Sicherheitsniveau besonders hoch.

Die Cisco Talos Intelligence Group kommt hingegen zu einem anderen Ergebnis. In einer Studie wurde das Sicherheitslevel der Fingerabdrucksensoren überprüft. Geprüft wurde unter anderem, ob es möglich ist, einen gefälschten oder kopierten Fingerabdruck einzusetzen. Tatsächlich überwand Cisco Talos in fünf von sechs Fällen die Security und erhielt Zugriff auf Geräte, die eigentlich geschützt sein sollten.

Verschiedene Wege, um den Fingerabdrucksensor zu überlisten

Bei den Tests setzte die Cisco Talos Intelligence Group verschiedene Techniken ein, um das Sicherheitsniveau der Sensoren zu überlisten. Zunächst wurden plastische Abdrücke der originalen Fingerabdrücke angefertigt. Kriminelle könnten solche Kopien beispielsweise von anderen Gegenständen, mitunter sogar in öffentlichen Bereichen, erstellen. Als Ausgangsmaterial dienten Fotos, ein Plastilin-Abdruck sowie Daten von einem Fingerabdruckscanner. Eine Bildbearbeitungssoftware half bei der Perfektionierung und Nachbearbeitung der Rohdaten. Aus diesen erstellte Cisco Talos mithilfe eines 3D-Druckers eine plastische Kopie eines Fingerabdrucks.

Diese realistische Nachbildung eines Fingerabdrucks wurde dann an den Sensor am Smartphone oder Notebook gehalten. Besonders erfolgreich waren die Kopien, die von Fingerabdruckscannern und Abdrücken auf Gegenständen erstellt wurden. Hier lag die Erfolgsquote bei rund 80 Prozent. Abfotografierte Fingerabdrücke konnten hingegen nur in etwa 40 Prozent den Fingerabdrucksensor am Smartphone überlisten. Außerdem fanden die Forscher mitunter signifikante Unterschiede zwischen den verschiedenen Modellen, Endgeräten und Herstellern. So waren Galaxy Note 9 und Honor 7X von Samsung besonders anfällig. Alle Versuche, den Sensor mit Kopien zu überlisten, waren erfolgreich. Die Sensoren auf Systemen mit Windows 10 oder Windows Hello hingegen funktionierten deutlich besser. Hier scheiterten alle Bemühungen, mit gefälschten Fingerabdruckprofilen Zugang zu den Geräten zu bekommen. Die Gründe hierfür vermuten die Forscher in speziellen Algorithmen des Betriebssystems. Diese sind in der Lage, reale Fingerabdrücke von Kopien zu unterscheiden. In älteren Geräten sind solche komplexen Sicherheitsbarrieren oftmals nicht vorhanden. So fiel auch ein MacBook Pro von Apple aus dem Jahre 2018 im Test durch. Das Gerät akzeptierte alle Kopien, die via Scanner erstellt wurden. Auch abfotografierte Fingerabdrücke waren in 60 Prozent der Versuche erfolgreich.

Grundsätzlich, so die Studie, bieten die Sensoren für den normalen Nutzer jedoch ein gutes Sicherheitslevel. Der individuelle Aufwand, einen Fingerabdruck zu entwenden und einen Abdruck daraus zu erstellen. ist relativ hoch. In Kombination mit einer Zwei-Faktor-Authentifizierung wird der Schutz nochmals deutlich erhöht.