Chaos Computer Club trickst Iris-Scanner des Galaxy S8 aus

Eine hundertprozentige Sicherheit wäre in Zeiten, in denen das Smartphone zum Lebensmittelpunkt wird schön, um die darauf befindlichen Daten auch entsprechend zu schützen. Allerdings gibt es eine solche eben nicht. Während PINs über Fettreste auf dem Smartphone häufig erraten werden können und Fingerabdruck-Scanner mit Silikon oder Holzleim und einem Abdruck umgangen werden können, hat der CCC nun auch einen Weg für den Iris-Scanner des Galaxy S8 gefunden.

Allerdings ist es nicht so, dass der Iris-Scanner ebenso leicht auszutricksen wäre, wie es bei der Gesichtserkennung der Fall war.

Die Gesichtserkennung des Galaxy S8 konnte bis zu einem späteren Update mit einem Foto entsperrt werden. Inzwischen hat man hier die Wahl, ob man eine sehr schnelle (aber unsichere) oder eine langsamere aber dafür sichere Gesichtserkennung nutzen möchte. Der Iris-Scan wiederum gilt als sicher – bietet aber eben auch keine 100 prozentige Sicherheit. Der Chaos Computer Club hat einen Weg gefunden den Scanner des Galaxy S8 zu überlisten, so einfach wie es in der Pressemitteilung klingt ist es dann aber nicht. Das Video des CCC zeigt, wie man den Scanner ausgehebelt hat: erst wurde ein Foto mit dem Nachtmodus einer Kamera aufgenommen. Dieser nimmt auch den ansonsten herausgefilterten Infrarot-Frequenzbereich war und somit auch sonst schwer zu sehende Details im Auge. Das Foto wurde dann in Graustufen ausgedruckt. Dann wurde eine Kontaktlinse über das ausgedruckte Foto gelegt, sodass die Attrappe dann für den Scanner „echt“ genug wirkte, um das Galaxy S8 zu entsperren.

Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden.

Ganz so einfach, wie es der CCC in der Pressemitteilung darstellt ist es dann jedoch nicht: eigentlich müsste es dort heißen „auch wer keine Infrarot-Bilder (sic!) von sich ins Internet stellt“. Normale Kameras filtern eben das IR-Band raus beziehungsweise es ist auf Fotos nicht darzustellen, weshalb normale Fotos kaum die Details bieten dürften, welche ein Entsperren ermöglichen. Stattdessen müsste man ein Foto des Hack-Opfers machen, hierzu schreibt der CCC:

Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann

Das wiederum ist möglich. Eine 100 prozentige Sicherheit gibt es eben nicht. Hier das Video des CCC (unterhaltsam im Stil der Sendung mit der Maus) – allerdings nicht mobil oder über die App zu schauen, da der CCC natürlich nicht bequem YouTube nutzt, sondern irgendeinen Player der natürlich Probleme macht.

Quelle: CCC

Wenn ihr auf "Kommentare von Disqus laden" klickt, wird ein entsprechender Cookie gesetzt und Nutzerdaten, beispielsweise die IP-Adresse an Server von Disqus in den USA geschickt, die Kommentare werden dann geladen. Eure Entscheidung. Mehr Infos dazu in den Datenschutzhinweisen.

8 thoughts on “Chaos Computer Club trickst Iris-Scanner des Galaxy S8 aus

  1. Man kann auch ein Foto von nem PIN haben und es eingeben…Die Logik dahinter wäre die gleiche.

    Man kann eben mit einer einzigen Kamera nur ein 2D Bild erschaffen, was sollen die Sonsoren denn machen, wenn sie keine tiefe errechnen können, außer die Oberfläche abzufotografieren?! Da ist es wenigstens schon sicherer, das man ein Infrarot Foto haben muss, so ein Foto lädt man ja auch nicht auf Social Media etc. hoch, als für mich sicher wenn mir ein Fremder das Handy klaut. Mir scheint das etwas zu übertrieben…es lässt sich alles irgendwie umgehen.

    • Deinen Pin kann aber nicht jeder sehen, dein Gesicht hingegen schon und es ist weit aus unauffälliger dieses zu fotografieren.
      Aber du hast Recht, finde es auch übertrieben – alles kann umgangen werden.

      • deinen pin kann keiner sehen?!? dann fahr mal mit denn öffentlichen. da fehlt mir nur die kriminelle energie das smartphone zu klauen und ich hätte zig geräte mit pins. da sind irisscanner oder fingerabdruck sehr viel sicherer. denn der lässt sich nicht mal eben gaanz unauffällig klauen. und ein foto/fingerabdruck der person, der ich in der ubahn das smartphone klaue, zu bekommen stelle ich mir doch ganz schön schwer vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.