Neu von MSI

Samsung Galaxy S8: Iriserkennung nicht sicher

reported by doelf, Mittwoch der 24.05.2017, 10:23:21 Uhr

Fingerabdrücke, das Gesicht und die Augen scheinen auf den ersten Blick ein gutes Identifikationsmerkmal zu sein, doch biometrische Erkennungssysteme ließen sich in den vergangenen Jahren immer wieder mit einfachen Mitteln überlisten. Der Chaos Computer Club (CCC) konnte nun auch die Iriserkennung von Samsungs neuem Flaggschiff Galaxy S8 ganz ohne High-Tech aushebeln.

Laut Samsung, stellt die Iriserkennung einen Schritt nach vorne dar, da sie im Vergleich zu Verfahren, die Fingerabdrücke oder Gesichter verwenden, noch sicherer sei. Die Regenbogenhaut der menschlichen Iris ist, wie ein Fingerabdruck, einzigartig und lässt somit eine eindeutige Identifizierung zu. Doch im Gegensatz zu Fingerabdrücken, die wir tagtäglich überall hinterlassen, sollte es weit schwieriger sein, unbemerkt an unsere Iris zu gelangen. Das Galaxy S8 ist das erste Smartphone mit einer solchen Iriserkennung, sie stammt vom Zulieferer Princeton Identity.

Soviel zur Theorie, denn in der Praxis muss man niemandem das Auge entfernen, um Zugang zu seinem Smartphone zu bekommen. Stattdessen reicht schon ein hochauflösendes Foto aus dem Internet aus, um die Iriserkennung zu überlisten. Wie CCC-Mitglied Starbug während seiner Untersuchungen herausfand, genügen Fotos, die mit einer handelsüblichen Spiegelreflexkamera nebst 200-mm-Linse aus einer Entfernung von bis zu fünf Metern gemacht wurden. Man könnte somit sagen, dass sich die Iriserkennung noch leichter austricksen lässt als ein Fingerabdruckscanner.

Hat man erst einmal ein Foto in brauchbarer Auflösung, müssen gegebenenfalls noch Helligkeit und Kontrast angepasst werden. Dann druckt man das Irisbild mit einem handelsüblichen Drucker aus - die besten Ergebnisse erzielte Starbug lustigerweise mit einem Laserdrucker von Samsung - und platziert eine Kontaktlinse darüber, um die Wölbung des Auges nachzuahmen. Fertig ist die Low-Tech-Iris-Attrappe, mit der sich die angebliche High-Tech-Sicherheitstechnologie hinters Licht führen lässt. Dieser Angriff ist somit nicht nur simpel, sondern auch sehr billig.

Mit diesem Wissen sollten Samsungs Pläne, die Iriserkennung in sein Bezahlsystem "Samsung Pay" zu integrieren, äußerst kritisch hinterfragt werden. Den Nutzern von Geräte mit biometrischer Zugangserkennung kann man indes nur raten, zum traditionellen PIN-Code zurückzukehren. Im Idealfall findet sich dieser nur im Gehirn des Benutzers und dieses auszulesen ist - zumindest bisher - noch so gut wie unmöglich.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]