Lookout Kommentar: Warum ich die TouchID (erneut) geknackt habe und sie trotzdem großartig finde

Lookout Kommentar: Warum ich die TouchID (erneut) geknackt habe und sie trotzdem großartig finde

Als das iPhone 6 auf den Markt kam, wollte ich als erstes herausfinden, ob es Änderungen am TouchID-Sensor gegeben hatte oder nicht. Ich habe nicht unbedingt erwartet, dass der TouchID-Sensor nun völlig sicher sein würde, mir aber zumindest gewisse Verbesserungen erhofft.

Also machte ich mich daran, einige gefälschte Fingerabdrücke zu erstellen. Dabei ging ich genauso vor wie damals, als ich die TouchID auf dem 5S geknackt hatte. Mit den fertigen Fingerabdrücken führte ich Tests auf beiden Geräten durch.
Die Ergebnisse meiner Tests sind in folgendem Video zu sehen: https://www.youtube.com/watch?v=GPLiEC_tG1k

Die Ergebnisse
Leider hat es zwischen den beiden Geräten kaum messbare Verbesserungen am Sensor gegeben. Die mit dem früheren Verfahren erstellten Fälschungen konnten beide Geräte problemlos täuschen.
Außerdem gibt es keine zusätzlichen Einstellungen, mit denen Nutzer die Sicherheit erhöhen können. Beispielsweise fehlt ein Timeout für die TouchID mit obligatorischer Eingabe eines Zahlenkennworts nach Ablauf der Zeit. Die größte Veränderung scheint darin zu bestehen, dass der Sensor viel empfindlicher zu schein scheint, was auf eine Scannerkomponente mit höherer Auflösung zurückzuführen ist. Woher weiß ich das? Bei meinen Tests fiel mir auf, dass mit dem iPhone 6 die Falsch-Negativ-Rate deutlich geringer war. Die Falsch-Negativ-Rate beschreibt das Ablehnen eines richtigen Fingerabdrucks durch das Gerät. Das liegt aller Wahrscheinlichkeit nach aber auch daran, dass das iPhone 6 wohl einen viel größeren Bereich des Fingerabdrucks scannt, um die Zuverlässigkeit zu verbessern.
Ein weiteres Zeichen dafür, dass der Sensor womöglich verbessert wurde, ist, dass „verdächtige“ – noch immer falsche Fingerabdrücke – die das iPhone 5S täuschen konnten, beim iPhone 6 nicht funktionierten. Um das iPhone 6 hinters Licht zu führen, muss der nachgemachte Fingerabdruck einige Besonderheiten aufweisen: Er muss deutlich komplexer und detaillierter sein. Die Proportionierung sowie Positionierung müssen ebenfalls stimmen. Zusätzlich sollte der Abdruck dick genug sein, damit der echte Fingerabdruck nicht durchkommt und stattdessen erkannt wird. Das sind zwar für einen Forscher im Labor keine unüberwindlichen Hindernisse, aber sie machen es Kriminellen bestimmt schwerer, einfach einen Fingerabdruck von der glänzenden iPhone-Oberfläche abzunehmen und das Gerät zu entsperren.

Fazit
Genau wie beim Vorgängermodell, dem iPhone 5S, kann der TouchID-Sensor des iPhone 6 geknackt werden. Davon geht jedoch die Welt nicht unter. So ein Angriff erfordert Know-how, Geduld und eine wirklich gute Kopie des Fingerabdrucks. Ein alter, verschmierter Abdruck funktioniert nicht. Die Verarbeitung dieses Abdrucks in eine funktionierende Kopie ist außerdem ein ziemlich komplexes Verfahren, so dass es mit großer Wahrscheinlichkeit nur dann eine Gefahr darstellt, wenn ein raffinierter Angreifer gezielt vorgeht. Ich bediene mich auch hier meiner Analogie aus meinem letzten Blogbeitrag zur TouchID: Die Schlösser an unseren Türen, mit denen wir Verbrecher abhalten, benutzen wir nicht, weil sie perfekt sind, sondern weil sie sowohl praktisch als auch wirksam genug sind, um den meisten herkömmlichen Gefahren zu begegnen.
Dass Apple den TouchID-Sensor ein wenig optimiert hat, ist ein Zeichen dafür, dass man an der Verbesserung des Merkmals arbeitet. Allerdings zielen die Veränderungen hauptsächlich auf eine höhere Benutzerfreundlichkeit ab. Nach heutigem Stand ist die TouchID ein wirkungsvoller Sicherheitsmechanismus, der für seinen primären Zweck, nämlich die Entsperrung des iPhone, mehr als ausreichend ist.

Weitere Informationen zu Lookout-Funden erhalten Sie im offiziellen Blog .

Über Lookout
Lookout schützt mit seinen Sicherheitslösungen Nutzer, Unternehmen und Netzwerke vor mobilen Bedrohungen. Mit der weltgrößten Schadsoftware-Datenbank und 50 Millionen Nutzern in 400 Mobilfunknetzen in 170 Ländern verhindert Lookout präventiv Betrug und ermöglicht Datensicherheit und -schutz. Das Unternehmen hat seinem Hauptsitz in San Francisco und eine Europa-Niederlassung in London. Es wird von zahlreichen renommierten Investoren finanziert, darunter die Deutsche Telekom, Qualcomm, Andreessen Horowitz, Khosla Venture oder Peter Thiels Fonds Mithril Capital. Lookout wurde vom Weltwirtschaftsforum als Technologie-Pioneer 2013 ausgezeichnet.

Kontakt
Lookout Mobile Security
Frau Alicia diVittorio
1 Front Street, Suite 2700
94111 San Francisco
089 211 871 36
lookout@schwartzpr.de
https://www.lookout.com/de