Samsung Galaxy S10: Ultraschall-Fingerabdrucksensor lässt sich austricksen
Bei den beiden Flaggschiff-Smartphones Galaxy S10 und Galaxy S10+ (Test) verbaut Samsung Ultraschall-Sensoren. Doch auch die als sicherer beworbene Technik lässt sich täuschen, wie ein Nutzer auf Imgur per Fotografie und 3D-Druck zeigte. Nach eigenen Angaben gelang ihm dies gar in wenigen Minuten.
Auch ein Ultraschall-Sensor lässt sich einfach täuschen
Bisher nutzen in Smartphones verbaute Display-Fingerabdrucksensoren einen optischen Sensor, genauer gesagt eine Kamera, die durch das Display leuchtet. Das ist zum Beispiel bei Smartphones wie dem OnePlus 6T (Test) oder Huawei Mate 20 Pro (Test) der Fall. Bei der diesjährigen Neuauflage seiner drei Flaggschiffe griff Samsung jedoch unter anderem zu einem per Ultraschall arbeitenden Modell von Qualcomm. Das bietet den Vorteil, dass der für den Sensor verwendete Bereich des Displays in der Erkennungsphase nicht ausgeleuchtet werden muss. Darüber hinaus arbeitet ein Ultraschall-Fingerabdrucksensor bei nassen Fingern oder Gegenlicht zuverlässiger. Auch die Sicherheit sei laut Samsung gesteigert worden.
Nun dokumentiert jedoch Nutzer „Darkshark“ auf Imgur, wie er seinen eigenen Fingerabdruck erfolgreich simulieren und den Ultraschall-Sensor täuschen konnte. Nötig war dafür ein 3D-Drucker, den er mit einer zuvor aufbereiteten Fotografie seines Fingerabdrucks auf einem Glas speiste. Für die Vorlage seien wiederum lediglich das Smartphone selbst und ein Bildbearbeitungsprogramm erforderlich gewesen, mit dessen Hilfe er die Kontraste verstärkte. Mit einer Modellierungssoftware verhalf er der Schablone anschließend zur dritten Dimension. Bereits beim dritten Versuch sei das Experiment geglückt, wobei der erste Anlauf nur fehlgeschlagen sei, weil er die Schablone nicht gespiegelt habe.
Passwörter seien nach wie vor sicherer
Mit seinem Beitrag wolle „Darkshark“ auch aufzeigen, wie einfach vermeintlich sichere Schutzmaßnahmen auszuhebeln sind. Sofern der Täter über entsprechendes Equipment verfügt, seien sicherlich auch Aufnahmen aus größerer Distanz möglich, so seine Einschätzung. Vermutlich sind die eigenen Fingerabdrücke ohnehin direkt auf dem damit geschützten Smartphone vorhanden; potentielle Diebe hätten also direkt Schlüssel und Schloss in der Hand. Vor allem kritischere Daten wie Bankinformationen sollten stets per Passwort geschützt werden, mahnt der Nutzer. In den Kommentaren fügt er hinzu, seine eigenen Fingerabdrücke auf den gezeigten Bildern verzerrt zu haben.
Samsung gesteht eine weitere Sicherheitslücke beim Ultraschall-Fingerabdrucksensor ein: Bei der Verwendung bestimmter Display-Schutzfolien gestattet das Smartphone nahezu jedem Nutzer Zugang – auch, wenn der aufgelegte Finger vorher nie registriert wurde. Bedeutsam ist nur, dass bei aufgetragener Schutzfolie ein Fingerabdruck registriert werden muss, anschließend lässt sich das Smartphone mit jedem erdenklichen Finger entsperren. Im konkreten Fall handelte es sich um eine besonders günstige Schutzfolie, Samsung hingegen bittet darum, nur zertifiziertes Zubehör zu verwenden, wie The Sun zunächst berichtete. Das Unternehmen untersuche den Fall derzeit intern und arbeite an einem Software-Update.
Die Redaktion dankt ComputerBase-Leser „bart0rn“ für den Hinweis zu diesem Update.