Samsung muss sich warm anziehen: CCC hackt Iris-Erkennung beim Galaxy S8
Der Chaos Computer Club hat in einem Blogeintrag mitgeteilt, dass man die Iris-Erkennung beim Samsung Galaxy S8 gehackt habe. Damit wird nach Touch ID ein weiteres biometrisches Sicherheitsfeature von aktuellen Smartphones ausgetrickst. Samsungs Android-Flaggschiff war erst in diesem Jahr auf den Markt gekommen.
Wieder einmal lautet die Devise: „Biometrische Erkennungssysteme können ihr Sicherheitsversprechen nicht einhalten“. Denn aktuell konnte der Chaos Computer Club erfolgreich die Iris-Erkennung des Galaxy S8 Smartphones überwinden. Dies ist verhältnismäßig einfach möglich, wie ein Video im Beitrag zeigt.
Technologie im Galaxy S8 einfach ausgetrickst
Die Iris-Erkennung in Samsungs aktuellem Smartphone nutzt natürlich die integrierte Kamera und arbeitet bei der Erkennung der Iris im Infrarotmodus. Wenn man einen Grundschüler hätte überlegen lassen, wie man die Iris-Erkennung des Geräts überwinden könnte, er wäre auf die Lösung des CCC gekommen.
Wenn Sie das Smartphone von Apples koreanischem Konkurrenten austricksen wollen, gehen Sie wie folgt vor:
- Fertigen Sie ein Foto von Ihrem Gesicht an, und zwar mit einer x-beliebigen Kompaktkamera, die einen Nachtmodus bietet, weil auch dabei der Sensor im Infrarot-Modus arbeitet.
- Drucken Sie das Foto mit einem Drucker aus.
- Um dem Smartphone die Echtheit der Iris besser vorzutäuschen, stülpen Sie eine Kontaktlinse auf das ausgedruckte Porträt, an der Stelle, an der das biometrisch wichtige Auge sichtbar ist.
- Halten Sie den Ausdruck samt Kontaktlinse vor das Smartphone.
- Fertig.
Auf diese einfache Weise können Sie das biometrische Sicherheitsmerkmal des Samsung Galaxy S8 austricksen. Das hatte sich das Unternehmen sicherlich anders vorgestellt, als es das biometrische Erkennungssystems der Firma Princeton Identity Inc. eingekauft hat.
Pin-Code besser als Iris-Erkennung
Der CCC rät deshalb durch seinen Sprecher Dirk Engling: „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück.“
Besonders dramatisch sei, dass Samsung die Integration des Iris-Scanners auch in seine Bezahllösung „Samsung Pay“ plane. Fremde könnten auf diese Weise auch auf die virtuelle Geldbörse der geschädigten Person zugreifen.
Während auch der Fingerabdruck-Sensor bereits vom CCC umgangen werden konnte, sei die Gefahr beim Iris-Scan jedoch deutlich größer. Schon ein einfaches Bild mit hoher Auflösung, das Fremde zur Not auch auf sozialen Medien erbeuten könnten, würde ausreichen, um das biometrische Merkmal zu umgehen.
Sollte ein Bild mal nicht sofort funktionieren, müssten unter Umständen Helligkeit und Kontrast angepasst werden, weiß der CCC zu berichten. Als Treppenwitz lässt der CCC noch wissen: Die besten Ergebnisse beim Umgehen des Iris-Scanners im Galaxy S8 seien mit Laserdruckern desselben Hersteller erzielt worden.