Gefährliche Biometrie
HTC speichert Fingerabdrücke unverschlüsselt
von
Andreas
Fischer - 10.08.2015
Foto: Shutterstock/deepadesigns
Fingerabdrucksensoren werden von vielen Smartphone-Herstellern als schickes und sicheres Feature vermarktet. Damit scheint es aber nicht weit her zu sein.
Viele moderne Smartphones haben einen Fingerabdrucksensor, mit dem sich der Nutzer an seinem Handy anmelden oder mit dem er Überweisungen autorisieren kann. Die Technik gilt unter Sicherheitsexperten aber seit längerer Zeit als umstritten, weil sie sich relativ leicht austricksen lässt. So hat der Chaos Computer Club (CCC) bereits mehrfach demonstriert, wie sich mit einem Fingerabdruck, einem Drucker und etwas Latexmilch ein „künstlicher Finger“ herstellen lässt.
Malware klaut Fingerabdrücke: Die Grafik zeigt, wie sich eine böswillige App in den Fingerabdrucksensor einklinkt.
(Quelle: FireEye Labs )
Genau dies ist aber auf Android-Smartphones anscheinend nicht besonders schwer. So haben Mitarbeiter der FireEye Labs auf der Black Hat Conference jetzt ein Whitepaper veröffentlicht, in dem sie beschreiben, wie leicht sich auf Smartphones erstellte Fingerabdrücke entwenden lassen. Nach ihren Angaben wird der Sensor von den Herstellern nicht ausreichend geschützt. Genannt wurden Huawei, HTC und Samsung. Hacker und böswillige Apps können sich Zugriff zu dem Sensor verschaffen und den Fingerabdruck des Anwenders auslesen, ohne dass dieser das überhaupt mitbekommt.
Auf dem HTC One Max sind außerdem bereits erstellte Fingerabdrücke sogar als unverschlüsselte Bitmaps in einem frei zugänglichen Ordner abgespeichert, schreiben Yulong Zhang, Zhaofeng Chen, Hui Xue und Tao Wie, die Autoren der FireEye-Studie. Hackern wird es so erheblich erleichtert, den Fingerabdruck des Nutzers zu klauen. Apple scheint die Biometrie besser umgesetzt zu haben: Nach Angaben der Sicherheitsforscher verschlüsselt der Hersteller die von den Fingerabdrucksensoren erstellten Abdrücke.
Das vollständige Whitepaper kann als PDF heruntergeladen werden. Einige Android-Hersteller sollen bereits reagiert und Updates für ihre Smartphones bereitgestellt haben. Nutzer älterer Geräte haben aber wahrscheinlich wieder nur die Möglichkeit, auf eine Modifikation wie CyanogenMod zu wechseln. Diese wird deutlich schneller aktualisiert.
