Lange hat es ja nicht gedauert, bis die ersten Hacker Apples TouchID beim neuen iPhone 5s geknackt haben. Mit einer Finger-Attrappe hat ein Mitglied des Chaos Computer Clubs (CCC) den neuen Fingerabdrucksensor schon nach drei Tagen überlistet.
TouchID angeblich „extrem sicher“
Apple beschreibt die TouchID-Technologie im Online-Store als „extrem sicher“. Dan Riccio, Apples Hardware-Chef, bezeichnet den Fingerabdruck im entsprechenden Präsentationsvideo als „eines der besten Kennwörter der Welt“. Schließlich habe man ihn stets bei sich und er gleiche keinem anderen.
Der Chaos Computer Club sieht das ein bisschen anders. „Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt“, stellt Club-Sprecher Frank Rieger in einer Stellungnahme klar.
CCC-Hacker Starbug dokumentiert den Einbruch mittels künstlichem Finger in einem YouTube-Video. Wie man einen Fingerabdruck kopiert hat der CCC schon 2004 in einer Anleitung erläutert. Selbiges Verfahren sei auch bei diesem Video zum Einsatz gekommen. Dazu schreibt der CCC:
Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2.400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1.200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.
Die Besonderheit beim iPhone 5s und seiner TouchID-Technologie sei einfach nur eine höhere Auflösung als bei bisherigen Sensoren. „Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, erklärt Hacker Starbug. Das Ergebnis sieht so aus:
4.000 Euro für den ersten TouchID-Einbruch
Auf der Internetseite isTouchIDhackedyet.com haben sich Hacker und Interessierte aus aller Welt zusammengeschlossen und spontan Geld für den ersten TouchID-Hack gesammelt. Über 4.000 US-Dollar sind bisher für den ersten erfolgreichen Einbruch ausgelobt worden. Der Status der Seite wurde inzwischen auf „Maybe“ gesetzt: „The Chaos Computer Club in Germany may have done it!“ Man warte nun nur noch auf einen Video-Beweis, wie Hacker Starbug die Attrappe erstellt hat.
Unterdessen warnt der Chaos Computer Club weiterhin vor biometrischen Sicherheitstechniken: „Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.“ Zudem sei es weitaus einfacher, einen Fingerabdruck abzunehmen, als Menschen zu zwingen, ein sicheres Passwort preiszugeben.
