News Apple Touch ID nicht sicher vor Fingerabdruckkopie

[terraconz]

Ja naürlich funktioniert es mit einem nachgebildeten Fingerabdruck!
Also sorry das war doch klar! aber an meinen Fingerabdruck zu kommen ist trotzdem etwas schwerer als an einen code, den ich genauso auch in der Öffentlichkeit permanent anwende.
Also ich habe die seite istouchishacked.com eher anders verstanden, und zwar direkt an die Fingerabdruck Daten aus dem speicher zu gelangen, und das mittels remote zugriff. oder halt die Entsperrung zu umgehen, per bug oder sonst was..

An deinen Fingerabdruck komme ich um Ecken leichter ran als an deine Pin oder dein Passwort.
Sobald du in einem Cafe was getrunken hast das Glas einstecken, oder dich einfach auf der Strasse ansprechen und bitten ob du kurz meine Kamera halten könntest damit ich etwas aus dem Rucksack rauskramen kann und schon hab ich ihn. Um deinen PIN oder dein PW zu bekommen musst du dich schon sehr dämlich anstellen also entweder deinen Geburtstag verwenden (bei A1 war das die meist verwendete PIN bei uns im System mit knapp über 50%!) oder du lässt andere Menschen beim entsperren deines Handys zusehen, beides Dinge die du leicht verhindern kannst. Aber nie wieder in ein Cafe gehen oder irgendwas auf der Strasse anfassen oder immer mit Handschuhen rumrennen ist um einiges schwieriger imho.

 

[Strulf]

Natürlich ist das ein Hack! Was sollte es den sonst sein?

Ein Hack wäre, wenn man den gespeicherten Fingerabdruck aus dem A7 auslesen oder das System anderweitig softwareseitig überlisten könnte. Einen nachgemachten Fingerabdruck aufzulegen hat mit Hacken nichts zu tun. Ich kann auch deinen Schlüssel nachmachen, um in dein Haus einzubrechen. Dazu brauche ich aber erstmal deinen Schlüssel. Dein Schloss habe ich dabei nicht geknackt.

 

[WulfmanGER]

Ja naürlich funktioniert es mit einem nachgebildeten Fingerabdruck!
Also sorry das war doch klar! aber an meinen Fingerabdruck zu kommen ist trotzdem etwas schwerer als an einen code, den ich genauso auch in der Öffentlichkeit permanent anwende.

an deinen Fingerabdruck kommt man mit leichtigkeit!

DEIN iPhone5s ... es wird die geklaut
AUF DEINEM iPhone sind ÜBERALL Fingerabdrücke von DIR... einen nehmen, kopieren, fertig.
Der Dieb weiß natürlich wie er das iPhone beim klauen "halten" muß damit er deine Fingerabdrücke nicht "zerstört"

Ansonsten - wenn er es in einer Bar etc. klaut, gibt es auch da wege ... ich denke mal an einen Fingerabdruck zu kommen ist sehr einfach - wenn man das know-how hat, wie man den optimal "nimmt" ...

 

[0711]

Ein Hack wäre, wenn man den gespeicherten Fingerabdruck aus dem A7 auslesen oder das System anderweitig softwareseitig überlisten könnte. Einen nachgemachten Fingerabdruck aufzulegen hat mit Hacken nichts zu tun.

hardwarehacks sind auch hacks...

Ich kann auch deinen Schlüssel nachmachen, um in dein Haus einzubrechen. Dazu brauche ich aber erstmal deinen Schlüssel. Dein Schloss habe ich dabei nicht geknackt.

dann mach mal mit einem Foto einen als sicher geltenden schlüssel nach...das ist nicht so simpel wie du dir das vielleicht vorstellst.

 

[wunschiwunsch]

Hast du nen neuen Perso oder warst mal im Amerika? Wenn ja herzlich willkommen in der Fingerabdruckdatenbank, du hast es geschafft ohne ein Apple Produkt zu benutzen.

Keine Plan, aber Blödsinn labern, ne?

Schonmal drüber nachgedacht, dass das nicht auf alle zutrifft?

 

[Magellan]

Also in dieser Richtung sehe ich das Problem jetzt nicht so dramatisch - dass man von einem Fingerabdruck nunmal eine sehr gute Kopie anfertigen kann ist bekannt daher taugt dieser auch nicht als hochsicheres Passwort. Für die meisten weniger sensiblen Zwecke auf einem Smartphone hingegen reicht es locker.
Das was mich an dem Sensor viel mehr stört ist die umgekehrte Gefahr dass der Fingerabdruck unberechtigt in falsche Hände gelangen könnte.

 

[Strulf]

oder du lässt andere Menschen beim entsperren deines Handys zusehen, beides Dinge die du leicht verhindern kannst.

Du hast keine Ahnung, wie leicht das ist. Einfach hinter jemandem sitzen oder anschleichen, ich habe schon so vielen Menschen beim Entsperren ihres Telefons zugeschaut, ohne dass diese es gemerkt haben. Da achtet kein Mensch drauf, genau wie Fingerabdrücke hinterlassen. Das ist deutlich einfacher und bequemer, als einen Fingerabdruck zu nehmen und das ganze Theater mit dem Erstellen eines nachgemachten Abdrucks.

 

[Raptor2063]

na beeindruckt bin ich nicht, der Aufwand ist doch nicht ganz ohne und nicht jeder Döddel hat die Mittel, zweitens und viel entscheidender man braucht den Fingerabdruck und zwar in richtig guter Qualität und den hat man wenn man so ein Ding zockt eben genau nicht!

Also das wäre genauso wie wenn ich jemand den Finger abschneide und dann sage, kuck ich kann die Sperre umgehen, obwohl ich nur den abgetrennten Finger habe. Und an die Daten im Gerät und erst Recht vom Fingerabdruck kommt man bisher scheinbar nicht, das wäre für mich der Durchbruch bzw. ein Sicherheitsproblem. Die Sperre zu umgehen, da kann ich auch zukucken wie jemand den Code eingibt, dass ist leichter, geht überall, ohne Equiptment usw.

 

[Scardust]

Ich sehe das Ganze etwas anders. Dem CCC ist vor allem wichtig die Leute aufzuklären die eher das glauben was ihnen das Marketing erzählt. Otto Normal User geht davon aus das man mit dem Fingerabdruck absolut sicher ist, der CCC wiederlegt dies. Das diejenigen die auf CB unterwegs sind zur eher aufgeklärten Gruppe gehören und dem nicht unbedingt viel abgewinnen können ist aus klar.

Apple hat es als erstes in einem Gerät eingebaut. Schließlich ist Apple auch diejenige die als erstes sich mit dem neuen Feature geschmückt hat.Daher beziehen sie jetzt auch die Kritik, wäre bei Samsung, Microsoft oder Nokia nicht anders gewesen.

 

[j3tho]

Naja.. wenn dir jemand das Handy klaut dann hat er meist auch gleich deinen Fingerabdruck.. denn was gibt es besseres als die Glasfront von einem Touchscreen-Smartphone um an Fingerabdrücke zu kommen?

D.h. nicht, dass sie verwertbar sind. Wenn ich mir mein Display so anschaue, ist da nirgendwo ein klarer Fingerabdruck drauf, sondern alles verwischt.

 

[Woodz]

na beeindruckt bin ich nicht,...

Naja, warten wir es mal ab. Mit Sicherheit war es oft schwer eine Software anfangs zu knacken. Aber mit der Zeit werden die Prozesse
,wie in der Halbleiterindustrie, angepasst und verfeinert.
Eins weiß ich aber, wenn in einem halben Jahr die Jammerei wegen den Fingerprints in den Medien losgeht, werde ich entspannt den Fernseher umschalten, ohne mir Sorgen oder Gedanken über ein neues Phone mit "besseren/sichereren" Scanner, oder irgend nem affigen Update machen zu müssen.

Gruß

 

[roker002]

Am besten den Netzhaut Scanner + Fingerabdruck + DNA Test + Passwort. Dazu die Geräte an die Politiker, Generäle/Admirale/Forscher verteilen!

Jeder kann sich ja ausmahlen, was es weiter passieren kann, wenn man Zugang zu den Biometrischen Daten hat und eventuell den gleichen PIN verwendet wie der bei der Arbeit!

 

[winni71]

Ja naürlich funktioniert es mit einem nachgebildeten Fingerabdruck!
Also sorry das war doch klar! aber an meinen Fingerabdruck zu kommen ist trotzdem etwas schwerer als an einen code, den ich genauso auch in der Öffentlichkeit permanent anwende.

Wenn man dir dein iPhone klauen würde, wäre der Fingerabdruck idealerweise schon mit drauf An einen Entsperrcode zum Eingeben kommt man da schwerer

 

[CD]

Natürlich ist das ein Hack! Was sollte es den sonst sein?

Den Fingerabdruck nachzumachen ist ungefär so l337h4xor wie jemanden nach seinem zu Passwort fragen, damit man sich auf dessen PC einloggen kann. Dass der Sensor gegen so etwas wehrlos ist sollte irgendwie auch niemanden überraschen. Die viel entscheidendere Frage ist aber: kann man das iPhone auch ohne nachgemachten Fingerabdruck davon überzeugen, sich zu entsperren? Weil es zB irgendwo in der Software des Sensors Sicherheitslücken oder Angriffsflächen gibt? Dann reden wir über einen Hack... das was der CCC gemacht hat ist wie schon jemand anders geschrieben hat einfach vergleichbar mit der Kopie eines Schlüssels. Damit schließt man das Schloss dann einfach auf, anstatt es zu "knacken". Und inwiefern die Fingerabdrücke auf dem Gerät selbst als Vorlage dienen, ich weiß es nicht... könnte mir gut vorstellen, dass es bei einem recht neuen Gerät das erst ein paar mal angefasst wurde durchaus einige gute Exemplare auf der Rückseite geben wird, aber wenn man das Smartphone erstmal ein paar Wochen verwendet, sind da wahrscheinlich so viele überlappende und verschmierte Abdrücke drauf, dass man keinen von denen verwenden kann.

Ansonsten seh ich den Sinn hinter diesem Sensor eher im bequemen Entsperren des Telefons, zB für alle die bisher einfach garkeine Sperre verwendet hatten. Und wegen dem Erfassen biometrischer Daten: ich bin bei weitem kein Fan von Datenkraken, aber was weiß Apple denn mit den Fingerabdrücken? Dass die Leute die sich ein iPhone gekauft haben dieses dann auch verwenden? Das ganze wird doch erst interessant wenn es eine zentralisierte Datenbank gibt und jedes Gerät vom Telefon bis zum Auto mit Fingerabdruck entsperrt wird, dann kann man mal mit tracking anfangen.

 

[Sashalala]

der punkt ist dass du den Fingerabdruck von egal woher nehmen kannst...besteck, glas, iphone Rückseite/Vorderseite, tisch etc pp. und damit eine einfache nicht lebensnahe replika mit kamera, drucker und kleber herstellen kannst. Da ist doch schon sehr weit entfernt von einer wirklichen Replik eines menschlichen fingers oder gar vom abgeschnittenen original. Die Einfachheit leigt darin dass man es mit sehr überschaubaren aufwand umgehen kann...

hat damit schlicht nichts zu tun sondern ist (oft) eine schwäche biometrischer authentifizierungsverfahren.
und bei ios nicht?

Nein bei iOS nicht weil Apple die Apps prüft und freigibt, bei Google nicht der Fall.
Wurd bei Stern TV eindrucksvoll gezeigt...
War selbst überrascht.

Wenn sich hier nun Leute beschweren das Touch ID mit sehr zeitintensiven Mitteln umgangen werden kann,
dann bitte iOS User selber.
Wobei ich denke dass das schlichtweg nicht wirklich einen juckt, da irgendetwas herzustellen schlicht und einfach viel zu zeitintensiv
ist.
Falls jemand sein iPhone verlieren sollte und es dementsprechend versucht wird zu knacken gibt es ja noch Mein iPhone suchen und kann
es dort dementsprechend verhindern.
Etwas sicheres als iOS bzw OS X findet man am Markt nicht.
Denn wie schon erwähnt bei Android bräuchte man diese Mittel nichtmal, die Leute die Android nutzen stimmen freiwillig zu.

 

[Straputsky]

Die Grundlage hierfür war ja eigentlich, dass von manchen Apple-Fans behauptet wurde, es würde ein spezieller Sensor verbaut, der ein Knacken mittels einer Replik unmöglich machen würde. Der CCC hat jetzt bewiesen, dass dem nicht so ist. Es handelt sich nur um einen verbesserten Sensor, bei dem die ursprüngliche Taktik immer noch greift, aber eben auch verbessert werden musste.

Dennoch bleibt ein gewisser Restnutzen:

• wer vorher gar kein Passwort genutzt hat, erhält mehr Sicherheit
• für den Angriff braucht es eine Replik des "richtigen" Fingers - wer sein Smartphone bevorzugt mit der rechten Hand bedient und zum entsperren einen Finger der linken Hand nimmt, kann dieses Problem schon reduzieren
• es ist bequemer und schneller als andere Sicherheitsmechanismen
• der ganze Spaß ist optional - wer nicht will, muss ja nicht

Persönlich halte ich die Angst vor Übermittlung der Daten an Geheimdienste für übertrieben. Da würde es mich weniger wundern, wenn unsere Regierung nicht ohnehin fröhlich Daten im Zuge eines "xyz-Programms zur Erhöhung der allgemeinen Sicherheit" im Geiste der "internationalen Kooperation" preisgibt.

Wegen der Sicherheit halte ich weder Pin-Eingabe noch Fingerabdruck für besser. Alles hat Stärken und Schwächen. Eine Pin muss ich beobachten und dann das entsprechende iPhone stehlen. Beim Fingerabdruck reicht es uU nur das iPhone zu entwenden und mit den vorhandenen Fingerabdrücken Zugriff zu erhalten. Die Chance die richtige PIN bei Unkenntnis einzugeben, sehe ich geringer als die Chance einen passenden Fingerabdruck vorzufinden.
Demgegenüber stehen die PIN-Verweigerer, weil es recht unbequem ist, diese mehrmals einzugeben. Hier ist ein Fingerabdruck natürlich in Punkto Sicherheit meilenweit vorne. Zudem dürfte der Fingerabdruck mit einem erhöhten Aufwand für den Angreifer punkten (sowohl zeitlich als auch finanziell).

Persönlich frage ich mich, wie gut der Sensor nach ein, zwei Jahren noch funktioniert. Oder unterliegt er gar keinem Alterungsprozess?

 

[Crazy_Bon]

Viele stellen sich wohl es zu einfach vor wie man an einem Fingerabdruck kommt, dann auch in der entsprechenden Qualität. Wie bereits schon erwähnt, der Aufwand ist nicht ohne. Ich bin nicht ganz sicher, aber misst der Fingerabdruckscanner auch noch die Temperatur? Wenn nicht, dann wäre das noch ein Sicherheitsmerkmal für´nen neueren Sensor, sowie die eine Pulsmessung. Dann bringt auch ein erwärmter abgeschnittener Finger nichts.

 

[eyedexe]

Das hier gezeigte "knacken" ist für mich ehrlich gesagt ein bisschen Kindergarten und Effekthascherei.
Aber es eignet sich mal wieder hervorragend dem Empörungsbürger Futter zu geben.

Klassische Fingerabdrücke sind beim iPhone gar nicht notwendig.
Benutzt man z.B. die Fingerknöchel oder seitlich die Finger, ist der angebliche CCC-Hack voll für den Popo.

Zudem hat man nur 5 Versuche bis zur Codesperre! Selbst unter den besten Bedingungen hat der CCC schon 2 Versuche gebraucht, bei dem sie genau wussten, dass es der korrekte Finger ist.

 

[Augen1337]

Apple macht nen Fingerabdrucksensor in die neueste Generation, folglich:
--> "Nur Geldgeilheit!" (ja was habt ihr gedacht? Es ist eine AG)
--> "Hatte mein GnadelduHandy/XYLaptop von 2003 auch schon!" (Dann ists doch okay, wenns nun im Handy ist.)
--> "Brauch man nicht, ich bin völlig zufrieden mit meinem S4!" (Niemand nötigt dich, ein iPhone zu kaufen)
--> 2014: "Hat mein S5 nun auch, also wars wohl nicht so schwer das reinzubringen!" (ja... aber eben erst 2014)
--> "Die NSA hat nun deine Fingerabdrücke!" (Schonmal in den USA gewesen? Die NSA hat sie doch schon -.- )

und die Masterantwort:
--> "Total unsicher!"

... ja, es wurde nie behauptet, dass das System nicht ausgetrickst werden kann. Es ist aber auch nicht da, um alle Passwörter und Codes obsolet zu machen. Es geht darum einen schnellen Zugang zum Gerät zu haben und trotzdem einen "Code" benutzen zu können, der nicht "abgeschaut" werden kann, wenn man mal eben über die Schulter guckt. Es ist nunmal ein Kinderspiel bei anderen in der Bahn den Zahlencode mitzulesen oder das Muster, das sie wischen, zu merken und anschließend das Handy zu klauen ( für einen Dieb, nicht mich ).
Der Aufwand, der hier betrieben wird, um einen Handycode zu knacken nachdem man es gestohlen hat, ist so sehr viel höher. Noch dazu brauch diese Methode eines: ZEIT. In dieser Zeit habe ich dann das Handy bereits gelöscht, gesperrt (und damit mit einem anderen, 20-stelligen Code versehen) und geortet per iCloud.

 

[Euphoria]

Also sorry das war doch klar! aber an meinen Fingerabdruck zu kommen ist trotzdem etwas schwerer als an einen code, den ich genauso auch in der Öffentlichkeit permanent anwende.

Wenn du ordentlichen Code verwendest, kann es keiner so schnell merken.
An einen Fingerabdruck kommt man hingegen relativ leicht ran, wie schon erwähnt.
Mal ganz blödes Beispiel, jemand entführt dich, wenn er nach deinem Passwort fragt, kannst du dich wehren, an den Fingerabdruck/Finger kommt er hingegen leicht dran, dafür musst du nicht einmal bei Bewustsein sein.

@Topic:
War klar, aber hätte nicht gedacht, dass es so schnell geknackt wird und so einfach geht.
Für mich ist und bleibt dieses Feature nur ein Gimmick...