Hack kann Fingerabdruck von Android-Smartphone stehlen

Alexander Trust, den 8. August 2015
Samsung Galaxy S5 - Electric Blue
Samsung Galaxy S5 – Electric Blue

Ohne dass Nutzer es merken würden, ließe sich der Fingerabdruck von Android-Smartphones stehlen. IT-Spezialisten haben eine Methode zum Abgreifen der biometrischen Daten gefunden, die bereits am Samsung Galaxy S5 und HTC One Max ausprobiert wurde, aber nicht auf diese Modelle beschränkt ist.

Hersteller zu schludrig

Auf der BlackHat-Konferenz in Las Vegas wurden in dieser Woche von den IT-Spezialisten von FireEye, Tao Wei und Yulong Zhang, vier Angriffsvektoren vorgestellt, über die man biometrische Daten wie den Fingerabdruck von Android-Smartphones entwenden kann, ohne dass die Nutzer es überhaupt merken würden. Dass dies überhaupt möglich sei, läge daran, dass die Hersteller schludrig mit der Sicherheit der Fingerabdruck-Sensoren umgingen.

Auf manchen Smartphones seien die Sensor-Daten lediglich mit System-Rechten gesichert, noch nicht einmal mit Root-Rechten. Entsprechend einfacher wäre es für die Angreifer. Nutzer, die ihr Android-Smartphone „rooten“, würden zusätzliche Barrieren entfernen, und sich auf diese Weise einem noch größeren Risiko aussetzen.

Fingerabdruck auslesen

Laut Zhang und Wei ist es Hackern möglich, digitale Abbilder der Fingerabdrücke „in großem Stil“ abzugreifen. Haben die Hacker das Smartphone mit ihrer Schadsoftware infiziert, könnten sie nicht nur vorhandene Daten abgreifen, sondern bei der Benutzung der Sensoren fortwährend digitale Abbilder auf fremde Server senden. Das heißt auf diese Weise könnten auch Fingerabdrücke von Personen gesammelt werden, denen das Smartphone eigentlich nicht gehört, wenn diese aber die Bedienteile, wie einen Home-Button nutzten, hinter dem manchmal ja der Fingerabdruck-Sensor versteckt ist.

Immenser Schaden

Problematisch ist durch den Hack nicht nur die Kompromittierung des Smartphones, sondern die Auswirkungen auf das Leben der betroffenen Personen „in der Zukunft“. Denn es kann sein, dass man sich mittels Fingerabdruck irgendwann am Flughafen, bei der Bank oder anderswo „ausweisen“ muss. Sind die Fingerabdruck-Daten „einmal“ in den Besitz der Hacker gelangt, können diese damit ein Leben lang Schindluder treiben, wie Zhang gegenüber ZDNet zugibt.

„In this attack, victims‘ fingerprint data directly fall into attacker’s hand. For the rest of the victim’s life, the attacker can keep using the fingerprint data to do other malicious things“.
Yulong Zhang

iPhone-Daten verschlüsselt

Die Ergebnisse der IT-Forensiker von FireEye geben keinen Aufschluss darüber, welche Hersteller die Fingerabdruck-Daten sicherer verwahren würden als andere, mit einer Ausnahme: Apple, das das biometrische System quasi auf Smartphones einführte sei „ziemlich sicher“. Sicher deshalb, weil Apple die Fingerabdruck-Daten verschlüsseln würde. Selbst wenn Hacker die Daten direkt auslesen „könnten“, würden sie kein Bild eines Fingerabdrucks erhalten.

Zhang und Wei warnen außerdem, dass dieses Problem nicht auf Smartphones beschränkt sei. Denn es gäbe eine Reihe von Laptops, die Fingerabdruck-Daten über das Touchpad sammelten und auf ähnliche Art kompromittiert werden könnten. Sie wiederholten ferner den üblichen Ratschlag: Nutzer sollen nur Geräte verwenden, die regelmäßig aktualisiert würden und ausschließlich Apps aus Quellen installieren, denen sie vertrauen.


Ähnliche Nachrichten

Passende Angebote