Sonstiges

„Extrem sicher“ nach drei Tagen geknackt: CCC überlistet Fingerabdrucksensor des iPhone 5s

geschrieben von Tobias Gillen

Lange hat es ja nicht gedauert, bis die ersten Hacker Apples TouchID beim neuen iPhone 5s geknackt haben. Mit einer Finger-Attrappe hat ein Mitglied des Chaos Computer Clubs (CCC) den neuen Fingerabdrucksensor schon nach drei Tagen überlistet.

iPhone 5s

TouchID angeblich „extrem sicher“

Apple beschreibt die TouchID-Technologie im Online-Store als „extrem sicher“. Dan Riccio, Apples Hardware-Chef, bezeichnet den Fingerabdruck im entsprechenden Präsentationsvideo als „eines der besten Kennwörter der Welt“. Schließlich habe man ihn stets bei sich und er gleiche keinem anderen.

Der Chaos Computer Club sieht das ein bisschen anders. „Es ist einfach eine dumme Idee, etwas als alltägliches Sicherheitstoken zu verwenden, was man täglich an schier unendlich vielen Orten hinterläßt“, stellt Club-Sprecher Frank Rieger in einer Stellungnahme klar.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


CCC-Hacker Starbug dokumentiert den Einbruch mittels künstlichem Finger in einem YouTube-Video. Wie man einen Fingerabdruck kopiert hat der CCC schon 2004 in einer Anleitung erläutert. Selbiges Verfahren sei auch bei diesem Video zum Einsatz gekommen. Dazu schreibt der CCC:

Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2.400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1.200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.

Die Besonderheit beim iPhone 5s und seiner TouchID-Technologie sei einfach nur eine höhere Auflösung als bei bisherigen Sensoren. „Wir mussten nur die Granularität unseres Kunstfingers ein wenig erhöhen“, erklärt Hacker Starbug. Das Ergebnis sieht so aus:

4.000 Euro für den ersten TouchID-Einbruch

Auf der Internetseite isTouchIDhackedyet.com haben sich Hacker und Interessierte aus aller Welt zusammengeschlossen und spontan Geld für den ersten TouchID-Hack gesammelt. Über 4.000 US-Dollar sind bisher für den ersten erfolgreichen Einbruch ausgelobt worden. Der Status der Seite wurde inzwischen auf „Maybe“ gesetzt: „The Chaos Computer Club in Germany may have done it!“ Man warte nun nur noch auf einen Video-Beweis, wie Hacker Starbug die Attrappe erstellt hat.

Unterdessen warnt der Chaos Computer Club weiterhin vor biometrischen Sicherheitstechniken: „Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.“ Zudem sei es weitaus einfacher, einen Fingerabdruck abzunehmen, als Menschen zu zwingen, ein sicheres Passwort preiszugeben.

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

14 Kommentare

  • Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2.400 dpi fotographiert.

    Aha… Super BT…

  • Ich frage mich, was dieses ständige, peinliche Rumgebashe auf dem iPhone bringen soll (außer Klicks)?

    Läuft der Dieb, welcher ein iPhone5s klaut dem Opfer hinterher und scannt, mit welcher Methode auch immer, die Fingerabdrücke dieser Person?

    Warum schreibt BT den selben Mist wie alle anderen?

    Beste Grüße
    ein Androide

    • Es geht dabei gar nicht so sehr darum, dass der Dieb das Opfer verfolgt und Fingerabdrücke klaut. Es geht dabei darum, die Aussagen von Apple unter die Lupe zu nehmen und sie ggf. zu widerlegen. Wenn das durch diesen Test des CCC möglich ist, dann schreiben wir das auf. Liebe Grüße, Tobias

  • Hey Androide,

    Schonmal drüber nachgedacht, das der Benutzer seinen Fingerabdruck ja auch auf dem iphone hinterlässt?
    Und das auf der gesamten „Touch“ Oberfläche. 😉

  • Biometrische Daten taugen nur zur Identifizierung vor Ort, also bei leiblicher Anwesenheit und nicht für eine Identifizierung im Web, da niemand seine Biometrischen Merkmale vor Missbrauch schützen kann.
    Daher ist es zwar weniger Schlimm ein Smartphone per Fingersensor zu Entsperren, aber man sollte sich davor Hüten diese für Onlineeinkäufe oder sogar Bankgeschäfte Verwenden zu wollen.

  • Ui was für ein Hack. Dumm nur, das diese Möglickeit von Apple selbst in der Supportdoku drinsteht. Deshalb auch Passcode nach 48std oder reboot.

    Hack ist also kein Hack.

  • Ich habe mir das Video angesehen, so wie es aussieht, ist es der gleiche Finger.
    Zuerst wird der Finger angelernt, dann klebt er sich den Finger auf die Kuppe und scannt, tolle Wurst!
    Bewiesen ist es doch nur, wenn ein Fremder sich den Fingerabdruck aufklebt und das Telefon freischalten kann!

    Denn, ich hatte Früher mit Authentec – FP Sensoren zu tun, die scannen kein Bild, des Fingers, sondern die Kapazität und diese ist NICHT das Bilder der Fingerlinien.
    Ich habe mir damals zum Testen die Fingerlinien mit einer Rasierklinge weggehobelt,war absolut glatt, der Sensor hat mich immer noch erkannt und andere nicht erkannt.

    Um wieder auf den Punkt zu kommen, der Sensor erkennt, dass es der gleiche Nutzer ist, bloss mit etwas gedruckten auf den Finger und schaltet frei.

  • > Es geht dabei darum, die Aussagen von Apple unter die
    > Lupe zu nehmen und sie ggf. zu widerlegen.

    Ach, wenn ihr euch doch nur selbst mal so genau und kritisch unter die Lupe nehmen würde…

  • Ein Artikel ohne jeglichen Mehrwert. Keine Idee dahinter, kein Nix, kein Garnix. Um Schlagzeilen zu lesen brauche ich nicht BT.

  • Hat irgendjemand den Link, wo Apple Touch ID als „extrem sicher“ bezeichnet?
    Laut Artikel im Online Store. Da steht aber nix von „extrem sicher“.

  • @Alex Kirchner: Er registriert aber den Zeigefinger und klebt sich dann etwas auf den Mittelfinger.