Handy mit ausgedrucktem Fingerabdruck überlistet

US-Forschern ist es gelungen, die Sperre eines Smartphones mit einem auf Fotopapier ausgedruckten Fingerabdruck auszuhebeln. In diesem Fall arbeiteten die Forscher im Auftrag der Polizei. Seit der Einführung von Fingerabdrucksensoren auf Tablets und Smartphones 2013 wird die biometrische Sicherung jedoch immer wieder wegen Sicherheitslücken kritisiert.

Bei dem nun geknackten Smartphone handelte es sich um ein Samsung Galaxy S6, dem zweiten Smartphonemodell des südkoreanischen Herstellers mit Fingerabdruckscanner. Das Handy gehörte einem Mordopfer. Die Ermittler vermuteten darauf Hinweise auf den Täter. Allerdings war die Leiche bereits zu stark verwest, um brauchbare Fingerabdrücke vom Opfer zu nehmen. Die Wissenschaftler der US-Universität Michigan State griffen daher auf Fingerabdrücke zurück, die die Polizei bei einer früheren Festnahme gespeichert hatte.

Tintenstrahldrucker und Fotopapier

Diese Abdrücke wurden mit einer Bildbearbeitungssoftware optimiert und auf Fotopapier ausgedruckt. Zum Einsatz kam dabei ein einfacher Tintenstrahldrucker, der um rund 150 Euro zu haben ist. Ein wesentlich einfachere Methode als bei einigen früheren Versuchen, Fingerabdrucksensoren zu überlisten: Als Apple solche Sensoren 2013 einführte, gelang es dem Chaos Computer Club, den Scanner mit einer Fingerattrappe hereinzulegen. Dabei wurde ein Fingerabdruck auf dem Sensor hochauflösend gescannt und auf eine Leiterplatte aufgetragen. Der Abdruck wurde daraufhin ausgeätzt und mit Graphit behandelt um die notwendige Leitfähigkeit herzustellen. Der falsche Finger wurde schließlich unter anderem mit Holzleim hergestellt.

Ein einfacher Ausdruck war auch beim jüngsten Abdruckscanner-Hack nicht ausreichend. Die US-Forscher verwendeten eine spezielle, leitfähige Tinte. Der Sensor des Galaxy S6 entsperrt das Gerät nur, wenn die Fingerabdrucklinien Strom leiten. Auch war es nicht mit einem Versuch getan: „Zu unserem Glück verlangte dieses Smartphone nicht, dass man nach einer bestimmten Anzahl von vergeblichen Versuchen ein Passwort eingeben muss“, sagte Teamleiter Anil Jain von der Michigan State University. „Dadurch konnten wir verschiedene digital bearbeitete Fingerabdrücke ausprobieren.“

Das Gerät verfügt auch nicht über eine Zeitsperre wie das iPhone von Apple. Dort muss der Sicherheitscode eingegeben werden, wenn das letzte Einloggversuch per Fingerabdruck länger als 48 Stunden her ist. Neuere Smartphones von Samsung verlangen nach zehn vergeblichen Entsperrungsversuchen mittels Fingerabdruck die Eingabe eines Sicherheitscodes.

Fingerabdruck aus der Kartei genügt

Dazu muss es jedoch offenbar gar nicht kommen. Die US-Wissenschaftler um Jain wendeten die Methode auch bei Apples iPhone 6 und dem Nachfolgermodell aus dem Kriminalfall, dem Samsung Galaxy S7 an – mit Erfolg, berichtet das „Forbes Magazine“ (Onlineausgabe). Jain habe dem Bericht zufolge daraufhin auch von anderen Polizeikräften Anfragen erhalten, die mit gesperrten Smartphones zu kämpfen haben. Ob er den Bitten um Untersützung nachkomme, sei jedoch ungewiss: „Wir sind keine Hacker“, sagte er gegenüber „Forbes“. „Wir wollen den Fokus unserer Arbeit nicht aus den Augen verlieren.“ Ermittler auf der ganzen Welt wüssten nun jedoch, dass Smartphones mit geringem finanziellen Aufwand und mit Fingerabdrücken aus der Kartei zu knacken sind, resümiert das Magazin.

Mehr zum Thema: