Dass die Fingerabdrucksensoren auf Smartphones nicht ganz so sicher sind, wie uns die Hersteller glauben machen wollen, hat sich bereits beim ersten iPhone mit diesem Feature herausgestellt. Der Chaos Computer Club erstellte bereits 2013 mit einfachsten Mitteln eine Kopie des passenden Fingerabdrucks und konnte das Gerät damit entsperren.
Die Technik hat sich seitdem zwar verbessert, die Methoden sie zu knacken aber wiederum auch. Das ewige Katz- und Maus-Spiel zwischen Team Blau und Team Rot eben. Jetzt ist es einem Sicherheitsteam in den USA gelungen, eine Art Generalschlüssel zu erstellen, mit dem sich 65% aller Smartphones mehr oder weniger problemlos entsperren lassen. Und zwar nicht mit Mitteln der analogen, sondern der digitalen Welt – via Machine Learning und einer Künstlichen Intelligenz.
800 Fingerabdrücke als Vorlage reichen
Die Forscher nahmen dazu einen Datensatz aus rund 800 Fingerabdrücken, die mit überdurchschnittlich vielen anderen Fingerabdrücken hohe Übereinstimmungen aufweisen. Man kann sich dieses Schema wie Schlüssel mit einer bestimmten Passform vorstellen, die sich – jeder für sich – in die entsprechenden Zylinder stecken lassen, ohne jedoch – wiederum jeder für sich – das Schloß öffnen zu können.
Nun erstellten sie aus dem Datensatz insgesamt 8.200 Teilabdrücke, die wiederum gegeneinander abgeglichen wurden. Sprich: es wurden alle möglichen Varianten von ganzen Fingerabdrücken erstellt, die mit der Kombination der Teilabdrücke möglich sind.
Aus diesem Pool nahmen die Forscher nun die Abdrücke, die mit vier Prozent aller anderen Abdrücke in der Datenbank übereinstimmten, also bereits jetzt eines von 25 testweise vorliegenden Smartphones entsperren könnten (statistisch hinkt der Vergleich ein wenig, da nicht jeder Mensch der Welt ein Smartphone mit Fingerabdrucksensor hat).
Diese rund 1.200 künstlich erzeugten Abdrücke waren im nächsten Schritt die Datenbasis für eine Künstliche Intelligenz, welche die Vorlagen willkürlich minimal veränderte. Stimmte eine Änderung mit mehr Musterabdrücken überein als die unveränderte Variante, wurde die neue Version beibehalten. Quasi so, als wenn man sich beim Puzzlen bei Passform und Größe immer mehr dem passenden Puzzleteil nähert oder als wenn man solange an einem Musterschlüssel rumfeilt, bis er irgendwann das Schloss öffnet.
Video: Qualcomm Snapdragon Sense ID mit Ultraschall
Nach einiger Rödelei erstellte der Algorithmus dann quasi einen General-Fingerabdruck, einen Masterkey. Dieser konnte zwei von drei Smartphones entsperren, obwohl es sich nicht um den Abdruck des Eigentümers handelte. Das funktionierte zwar nur im bestmöglichsten Fall, abhängig von den zuvor bereitgestellten Erstabdrücken. Es beweist aber, dass die Methode funktionieren kann, ohne jemals den echten Fingerabdruck als Referenz nehmen zu müssen. Für einen potentiellen Angreifer entfällt damit die Mühe, sich den Original-Fingerabdruck auf irgendeine Weise besorgen zu müssen.
Dem Forscherteam zufolge liegt das Problem der Scanner darin, dass die verbauten Sensoren zu klein sind, um einen gesamten Abdruck auf einmal zu prüfen. Vielmehr würde die Übereinstimmung eines Teilabdrucks mit einem einzigen weiteren Teilabdruck reichen, um das Smartphone zu entsperren. Im Schnitt speichern die Geräte insgesamt etwa zehn Teilabdrücke.
Weiterlesen:
iPhone-Display kann Fingerabdrücke erkennen
Wer sich für die Details des Projekts interessiert, kann sich das entsprechende Paper auf IEEE.org herunterladen. Das Team schlägt vor, Scanner zu entwickeln, die auch Rillen und Höhenunterschiede von Fingerabdrücken scannen. Einige Smartphones machen das bereits in Ansätzen – in Zukunft werden hoffentlich noch weitere Hersteller diesen Ratschlag befolgen..