Beim Begriff Hacking denken die meisten Leute an komplizierten Code und stundenlanges Programmieren. Dabei geht es eigentlich nur darum, in ein gesichertes System einzudringen. Wie einfach das selbst bei brandneuen Geräten gehen kann, haben jetzt Hacker vom Chaos Computer Club bewiesen.
Biometrische Erkennungssysteme für Smartphones sind in den letzten Jahren immer raffinierter geworden. Neben einem Fingerabdruck-Sensor sind einige Geräte inzwischen auch mit Gesichtserkennungssoftware ausgestattet. Damit User ihre Geräte vor unbefugten Zugriffen schützen können, bietet das neue Samsung Galaxy S8 sogar einen Iris-Scanner.
Videos by VICE
Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter
“Die Muster in Ihrer Iris sind ein einzigartiges persönliches Merkmal, das so gut wie fälschungssicher ist. Deshalb ist die Iriserkennung eine der sichersten Arten, Ihr Smartphone und Ihre privaten Daten zu schützen”, ist auf Samsungs Website zu lesen.
Obwohl Samsung also explizit damit wirbt, dass es so gut wie unmöglich sei, die Iris eines Nutzers zu kopieren, hat ein Hackerteam nun genau das getan. Mit erschreckend einfachen Mitteln demonstrieren die Hacker vom Chaos Computer Club in ihrem Video, wie sie die Iriserkennung von Samsung austricksen und das Gerät in wenigen Minuten können.
Und so einfach lässt sich der Iris-Scanner hinters Licht führen: Die Hacker nehmen zuerst ein Foto des Inhabers im Nachtmodus auf und drucken dieses Bild mit einem Laserdrucker aus. Um der ausgedruckten Iris die nötige Tiefe zu verleihen, legen die Hacker noch eine Kontaktlinse auf das Bild.
Das ist eigentlich schon alles. Das Samsung S8 lässt sich nun problemlos entsperren. Und für den Erfolg haben die Hacker nicht einmal lange gebraucht.
“Nach ungefähr einem Tag kam uns die Idee mit der Kontaktlinse. Dann haben wir mehrere Drucker durchprobiert, bis wir merkten, dass der Samsung-Drucker das beste Ergebnis liefert”, erklärt Linus Neumann von CCC gegenüber Motherboard.
Weder Samsung noch Princeton Identity, die Hersteller der Iris-Scanner-Technologie, haben auf unsere Anfrage reagiert.
Ebenfalls bei Motherboard: Die besten Momente der Hacking-Geschichte: Samy Kamkar legt Myspace lahm
Es ist nicht das erste Mal, dass der CCC sich die Biometrie-Sperren von Smartphones vorknöpft. 2014 demonstrierte der Biometrieforscher “starbug”, der auch im Video oben zu sehen ist, wie er mit einer einfachen Digitalkamera an die Fingerabdrücke seiner Zielperson gelangt. Im März gelang es iDeviceHelp außerdem, die Gesichtserkennungssoftware des Galaxy S8 auszutricksen.
Als Smartphone-Besitzer wirst du immer abwägen müssen, was dir beim Zugriffsschutz deiner Geräte wichtig ist: Komfort oder Sicherheit? Hat es für dich Priorität, dein Smartphone in die Hand zu nehmen und sofort nutzen zu können, oder nimmst du dir die Zeit, jedes Mal einen Code einzutippen? Klar ist jedenfalls, dass der Iris-Scanner nicht zu den besonders sicheren Methoden zählt. Um es mit den Worten vom CCC zu sagen: “Und damit ist der Drops gelutscht.”