Der Chaos Computer Club (CCC) hat ein
Video veröffentlicht, in welchem beschrieben wird, wie man den Iris-Scanner von Samsungs Galaxy S8 relativ einfach austricksen kann. Mittels einer Kombination aus einem Foto und einer Kontaktlinse lässt sich der biometrische Sicherheitsmechanismus täuschen.
Dazu fotografierten die Hacker das Auge des Nutzers mit einer Digitalkamera, welche einen Nachtmodus besitzt, also wie auch das Galaxy S8 ein Infrarotbild aufnimmt. Anschliessend wird das Bild zugeschnitten und ausgedruckt. Als letztes mussten die Hacker lediglich eine Kontaktlinse über den Ausdruck platzieren. Dadurch gelang es dem Iris-Scanner erfolgreich ein echtes Auge vorzutäuschen. Laut einer Sprecherin von
Samsung kennt der Konzern den Bericht des CCC. Der Iris-Scanner sei jedoch "gründlich getestet worden und Samsung wolle, sollte sich der Bericht des CCC bewahrheiten, die Sache "so schnell wie möglich lösen."
In einer
Pressemitteilung beschreibt der CCC das genaue Vorgehen und zeigt sich besorgt um den zunehmenden Trend von biometrischen Sicherheitsmechanismen. Dem CCC gelang es bereits das Fingerabdruck-Erkennungssystem des iPhone zu
umgehen. Forschern gelang es zudem aus sich wiederholenden Merkmalen von Fingerabdrücken einen
Master-Fingerabdruck zu erstellen. "Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten", sagt Dirk Engling, Sprecher des CCC dazu.
Die Technologie der Iriserkennung kommt jedoch zunehmend in Einsatz, nicht nur bei Mobiltelefonen, sondern etwa auch bei Zutrittssystemen an Flughäfen und Grenzen sowie IoT-Geräten. Laut CCC können Biometrische Merkmale das Sicherheitsversprechen aber nicht einlösen, mit dem sie beworben werden.
Auf der Webseite von
Samsung heisst es währenddessen "Sicherheit ist kinderleicht". Und da keine Iris wie die andere sei, wäre es nahezu unmöglich, sie zu kopieren.
Bereits im April war es ausserdem einem spanischen Blogger
gelungen, die Gesichtserkennung des Galaxy S8 auszutricksen. Dafür reichte ein simples Selfie, welches auf dem Display eines anderen Smartphones angezeigt wird. Samsung liess daraufhin verlauten, dass die Gesichtserkennung eine reine Komfortfunktion sei, so kann diese zum Beispiel nicht zur Autorisierung von Zahlungen verwendet werden. Die Iriserkennung lässt Samsung jedoch zur Autorisierung von Zahlungen zu.
(swe)