News Apple Touch ID nicht sicher vor Fingerabdruckkopie

[shoKuu]

Und?! Die Diskussion ist ganz schnell zu beenden.

1. Man erstellt mit Touch ID so seinen Abdruck

http://www.youtube.com/watch?v=4bG6cjaMZx0

2. Wer oder was soll bitte einen Abdruck seines Nippels finden, denn auf dem Homescreen wird er sicherlich nicht lesbar sein so oft man diesen mit seinem Finger betätigt.

3. 1:1 des Abdrucks kann nicht erstellt werden, somit immer noch sicherer als ein 4-stelliger Code

4. Also kein Hack, sondern einfach nur eine billige Kopie des Originals!

Versteh jetzt nicht warum man da so diskutieren muss. Bei Notebooks gibt es diese Dinger schon Jahre und da beschwert sich auch niemand öffentlich wie sinnlos diese Dinger sind. Nur das beim Notebook der Fingerabdruck meist nur umgewandelt wird, den man dann simple mit einer CD entfernen kann. Aufwand? 2 Minuten!

 

[Smily]

Wahrscheinlich schreibe ich das Gleiche, wie die 50 über mir .
Keine Entsperrmethode ist sicher, das ist auch gar nicht notwendig. Es geht hier nur um ein Handy, nicht um ein Bankschließfach. Es geht darum, dass keiner mal eben mein achtlos herum liegendes Handy nimmt, und alle Bilder löscht oder nach Australien telefoniert.

Wer an die Daten vom Handy ran will, der schafft das extrem simpel.

• Entweder den nicht abgewischten Mustercode nachfahren (oder mir über die Schulter schauen)
• oder (ebenfalls über die Schulter schauen) die PIN abkucken und eingeben. 4 Zahlen sich zu merken ist machbar.
• mein S4 hat noch Gesichtserkennung, wie genau das jetzt das Gesicht erkennt ... naja. Jedenfalls mit "über die Schulter schauen" ists nicht getan
• Und auch der Fingerabdruck ist sehr sicher. Weil wer hat bitte die Möglichkeit, mal eben nen Fingerabdruck abzunehmen und den hochauflösend für den Scanner bereit zu stellen? Das hat doch keiner in der Tasche.

Wenn auf meinem Handy hochsensible Daten zur Herstellung einer Zeitmaschine gespeicher sind, dann

1. bin ich selbst Schuld
2. wird derjenige schon eine Möglichkeit finden, Speicherkarte ausbauen wäre das einzige. Oder schnell den Speicherchip in ein anderes Handy löten, kein Problem.

 

[sizeofanocean]

Ein Hack wäre, wenn man den gespeicherten Fingerabdruck aus dem A7 auslesen oder das System anderweitig softwareseitig überlisten könnte. Einen nachgemachten Fingerabdruck aufzulegen hat mit Hacken nichts zu tun.

Köstlich. Ich glaube schon, dass ich verstehe, was du meinst. Aber vielleicht solltest du, bevor du solche Aussagen tätigst, dich mit der allgemeinen Definition von "Hack" oder "Hacker" vertraut machen (Duden, Wikipedia, etc.) und nicht nur von deiner eigenen Interpretation des Begriffs ausgehen.

Selbstverständlich ist das, was hier demonstriert wurde, ein Hack.

 

[Multithread]

Du trinkst auch sicher manchmal aus Dosen, PET flaschen oder Pappbechern und schmeißt diese anschliesend in den Müll oder im besten Fall auf die Straße :-)

Nein, aber ich trage immer und überall Wollhandschuhe
Ich trinke fast ausschlieslich aus PET-Flaschen die dann korrekt zum Recyclen gehen. Und ja, mit jeder einzelnen davon könnte man meine Fingerabdrücke vollständig rekonstruieren, die der Linken Hand zumindest, mit der Rechten dürftest du Probleme haben, da ich damit fast nur den Deckel öffne. Bin aber eigentlich Rechtshänder

Ich wiederhole mich nochmals:

An deinen Fingerabdruck komme ich um Ecken leichter ran als an deine Pin oder dein Passwort.
Sobald du in einem Cafe was getrunken hast das Glas einstecken, oder dich einfach auf der Strasse ansprechen und bitten ob du kurz meine Kamera halten könntest damit ich etwas aus dem Rucksack rauskramen kann und schon hab ich ihn. Um deinen PIN oder dein PW zu bekommen musst du dich schon sehr dämlich anstellen also entweder deinen Geburtstag verwenden (bei A1 war das die meist verwendete PIN bei uns im System mit knapp über 50%!) oder du lässt andere Menschen beim entsperren deines Handys zusehen, beides Dinge die du leicht verhindern kannst. Aber nie wieder in ein Cafe gehen oder irgendwas auf der Strasse anfassen oder immer mit Handschuhen rumrennen ist um einiges schwieriger imho.

bei Vielen die das PW im Zug eingeben kannst du das PW danach erraten ohne auf das Touchfeld gesehen zu haben.
Ich kenne inzwischen von mehr als einer Person ausm Zug, Leute mit denen ich noch nicht ein Wort gewechselt habe, das Passwort ihres iPhones.
Mindestens habe ich noch niemanden gesehen der eines der Top 10 PW's für Iphones verwendet

 

[JarmenC]

Es ist eben nur ne Erleichterung ich drück auf den Homebuttom und muss nicht hinterher noch nem Code eingeben. Und wenn es einer in meiner Umgebung auf mein Iphone abgesehen hat ist er sie einfach nur ein neidischer Arch. Ich glaube nicht das Ich als normal arbeitender Sterblicher in meiner Umgebung so viel kriminelle Energie habe das ich mein IPhone ihn ein Titansafe packen müsste um Sicherheit zuhaben. Ich bin der Meinung es interessiert kein Schwein in meiner Umgebung oder in meiner Kneipe was auf meinem IPhone für Daten sind. Wenn ein Bankier, Anwalt oder höheres ein Iphone 5S besitzen dann glaube ich kaum das auch nur einer so blöde ist seine Daten nicht besser zusichern. Der Scanner bleibt nur ne Erleichterung für die unmittelbare Umgebung denn der Aufwand ist einfach zuhoch.

 

[Meriana]

Man sollte nicht vergessen das dabei ein Fingerabdruck von guter bzw. wohl sogar sehr guter Qualität nötig ist. Und natürlich vom richtigen Finger. In der Praxis wird der wohl schwerer zu bekommen sein, als es jetzt hier aussieht.

 

[RayDeemer]

Sehr alter Hut, das!! Der Chaos Computer Club hat schon vor etlichen Jahren demonstriert, wie simpel es ist, Biometriescanner zu überlisten. Der Aufwand war zwar nicht ganz einfach, das Prinzip aber sehr simpel und überaus effektiv.

 

[Teralios]

Naja.. wenn dir jemand das Handy klaut dann hat er meist auch gleich deinen Fingerabdruck.. denn was gibt es besseres als die Glasfront von einem Touchscreen-Smartphone um an Fingerabdrücke zu kommen?

Also blicke ich auf das Glas meines SmartPhones, sind da keine wirklich verwertbaren Fingerabdrücke drauf, da ich den Knopf mal mit Daumen, mal mit Zeigefinger drücke. Dann die Glasscheibe, durch das Wischen wird der Fettfilm der Haut auf dem Display eher umhergewischt, als dass er brauchbare Abdrücke hinterlässt.

Das man sich recht einfach einen Fingerabdruck zulegen kann, ist selbst mir bewusst. Der Aufwand hier ist allerdings schon höher. 1. Muss man einen von den 10 passenden Fingern erwischen, die Chance ist 1 zu 10. Dann muss davon ein gut aufgelöstes Bild gemacht werden. Dann muss dieses Bild noch bearbeitet werden, ein passender Drucker muss her. Ich bezweifel, dass der 08/15-Dieb wirklich all das schaft und hat. Vor dem ist das Gerät also sicher.

Und jetzt der nächste Punkt. Ein vierstelliger Code ist selbst für einen Menschen, wenn er sich an das Handy setzt, an einen Tag geknackt. 10 * 10 * 10 * 10 => 10 000 Möglichkeiten. Die Liste einmal ausdrucken und ran an das Handy oder weitere Tricks.

Wirklich sicher wäre es nur, wenn jeder ein 10 - 12 stelliges Passwort verwendet oder gar vielleicht einen Satz aus 4 - 5 Wörtern, die er zufällig auswählt. Nur wer will sowas jedes mal eingeben?

 

[CREATIVE_79]

"Mission Impossible" lässt grüßen - Aber wer betreibt denn so einen Aufwand um die Telefonsperre zu umgehen? MfG

 

[Boedefeld]

Ich glaube, wir sind uns einig, dass die meisten iPhone Diebstähle von irgendwelchen kleinen Gaunern begangen werden.
Und die werden wohl in den wenigsten Fällen das Equipment, bzw. die geistige Reife besitzen, um den vom CCC beschriebenen Vorgang durchzuführen.

Wenn hier wirklich ein Firmenhandy mit hochsensiblen Daten (ich glaube, die wären a) schon mal gar nicht auf einem iPhone und b) wenn doch, dann ist es eh egal, wie das Handy gesichert ist) geklaut wird, dann ist das kein kleiner Gauner, sondern wohl eine Organisation, die sich damit auskennt und über die notwendigen Methoden verfügt, um jeden Mechanismus zu umgehen.

Und sorry Leute, aber wenn hier schon davon gesprochen wird dem Handybesitzer den Finger abzuschneiden, dann sind die Täter wohl auch zu anderen Mitteln bereit und da kann das Handy sonst wie gesichert sein...

Worauf ich hinaus will: Bisher ist dieses Umgehen nicht der Rede wert.
Sicherer als ein vierstelliger Code ist Touch ID in jedem Fall.
Wäre es möglich den Fingerabdruck auszulesen, dann würde es anders aussehen, aber das ist bislang offensichtlich noch nicht möglich...

 

[Haki-28]

Weiss jetzt nicht ob es schon erwähnt wurde, aber für all die, die sich fragen wo man am Telefon an einen Fingerabdruck ran kommen soll... Vielleicht auf der Oberfläche des Fingerabdrucksensors selber?!

 

[Bogeyman]

Also sorry das war doch klar! aber an meinen Fingerabdruck zu kommen ist trotzdem etwas schwerer als an einen code, den ich genauso auch in der Öffentlichkeit permanent anwende.

Den Fingerabdruck hinterlässt du an allen möglichen Gegenständen. Bei einem Code ist das nicht so. Ein Fingerabdruck eignet sich auch nicht zur sicheren Authentifizierung. Denn einen Fingerabdruck behälst du ein Leben lang, ein Passwort kannst du einfach ändern wenn es kompromitiert wurde.

Mir unbegreiflich wieso man da überhaupt einen solchen Sensor verbaut hat. Da ist RFID und NFC schon sicherer. Zwar nicht jedermanns Sache aber wenn man nen kleinen Chip sich auf den Fingernagel kleben würde wäre dies sicherer. Wenn man ihn verliert kann man das ganze sperren und kopieren ist schwerer als bei einem Fingerabdruck.

Aber Sicherheit war noch nie wirklich komfortabel das ganze ist eh gegenläufig. Ich ändere alle paar Wochen eh den Pin.

Denke der Fingerabdruck ist eher als Ersatz für diejenigen Gedacht die gar kein Pin davorhaben, weil er diesen keineswegs ersetzen kann.

Aber dann versteh ich die Aufregung auch nicht. Jetzt fallen sie plötzlich aus allen Wolken weil man den Sensor überlisten kann.

Ganz ehrlich ich würde das Ding nicht nutzen.

 

[Singler]

So viel Arbeit nur um an die unwichtigen Daten eines Telefons zu kommen?

Du bist wahrscheinlich 14 und hast keine Ahnung.

Dass es Menschen gibt, die einen nicht gerade geringen Teil ihrer beruflichen Korrespondenz (eMails etc) über das Smartphone abwickeln, ist dir schon klar, oder? Und das heisst, dass da keiner an diese Daten ran sollten.

 

[jimknils]

So viel Arbeit nur um an die unwichtigen Daten eines Telefons zu kommen?

Richtig. Es wäre doch wesentlich komfortabler, einfach die Jungs in Fort Meade zu fragen.

Ich verstehe "den Aufruhr" um diese Meldung einfach nicht.

 

[Strulf]

Wenn du ordentlichen Code verwendest, kann es keiner so schnell merken.

Ist halt nicht so einfach bei nur vier Zahlen...

 

[Woodz]

Ok, die Diskussion ist wirklich aus dem Ruder gelaufen. Wenn ich auf ein Smartphone scharf bin, würde ich sowieso keinen so hohen Aufwand betreiben. Im einfachsten Fall würde ich mir nen Schatten ins Gesicht binden, dich ansprechen mir dein Smartphone zu geben und bitte auch gleich zu entsperren - danke.
Und wenn nicht, dann könnte man zusammen Argumente suchen, dich davon zu überzeugen, dies für mich zu tun.
Da ich aber lieber Omas über die Straße helfe, kommt diese Methode nicht in Betracht. Soll aber zeigen, dass es mit Sicherheit noch einfacher geht.

Übrigens. Wäre dass dann auch ein Hack?

Gruß

 

[Sweepi]

Der CCC hat gezeigt das es geht. Das professionelle Kriminelle den Vorgang vereinfachen werden (Wieviel Abdruck brauche ich? Wie gut muss die Kopie sein? Wie geht es schneller/billiger?) steht außer Frage. Ob sich das im Einzelfall lohnt, wird sich zeigen (und entscheidet der Dieb). Mit dem Fingerabdruck kann man immerhin Apps bezahlen und an alle gespeicherten Daten kommen.
Wichtig ist vor allem, dass der Eindruck erweckt wurde, dass TouchID sicherstellen kann, dass nur der original Finger funktioniert, was widerlegt wurde. Biometrische Daten sind als PW generell ungeeignet und dürfen vor allem nicht als Vertragsbestätigung ausreichen.
Ich glaube nicht, dass der ganze Fingerabdruck benötigt wird. vgl http://www.apple.com/iphone-5s/videos/#video-touch ab Sekunde 50.

Zum Thema "Das ist doch kein Hack"
Hack heißt heruntergebrochen und losgelöst vom Programmieren erst mal nichts weiter als "(kreative/unerwartete/ungewollte) Lösung / Workaround eines Problems". Deshalb kann man den Vorgang "Hack" nennen.
"... und damit haben sie das Preisgeld nicht verdient"
http://istouchidhackedyet.com/ hat von Anfang ein Preisgeld dafür ausgesetzt, die Sperre mit einem nachgebauten Fingerabdruck, der auf einem Alltagsgegenstand hinterlassen wurde, zu überwinden.

Zu

Der CCC sieht sich erneut in seiner Ansicht bestätigt, das Biometrie dafür geeignet ist, „Menschen zu überwachen und zu kontrollieren“, jedoch „nicht um alltägliche Geräte vor dem Zugriff zu sichern“.

Biometrische Spuren/Daten hinterlassen wir immer und überall, daher sind sie gut geeignet Menschen zu überwachen, und eher weniger zur einzigen Identifikation. Wo ist da der Punkt zum widersprechen?

Etwas sicheres als iOS bzw OS X findet man am Markt nicht.

Ich empfehle die Patchnotes von OSX zu lesen. Hab bei 10.6 aufgehört, aber lustig war es immer. Diverse "Code-Executions" an unmöglichen Stellen... Remote/Gastacc von Werk aus offen.... Code-Execution via iMessage(!!).

 

[terraconz]

Du hast keine Ahnung, wie leicht das ist. Einfach hinter jemandem sitzen oder anschleichen, ich habe schon so vielen Menschen beim Entsperren ihres Telefons zugeschaut, ohne dass diese es gemerkt haben. Da achtet kein Mensch drauf, genau wie Fingerabdrücke hinterlassen. Das ist deutlich einfacher und bequemer, als einen Fingerabdruck zu nehmen und das ganze Theater mit dem Erstellen eines nachgemachten Abdrucks.

Nur wozu überhaupt entsperren/sperren in public?
Mein Handy entsperre ich wenn ich es reboote das passiert alle 3-4 Monate mal und dann zuhause und nicht in der Öffentlichkeit.
Es ist also leichter zu verhindern als deinen Fingerabdruck zu bekommen.

 

[0711]

Nein bei iOS nicht weil Apple die Apps prüft und freigibt, bei Google nicht der Fall.
Wurd bei Stern TV eindrucksvoll gezeigt...
War selbst überrascht.

es gibt bei ios auch apps die Fotos uploaden können...dass, das android Sicherheitssystem relativ kaputt ist, ist was anderes.

Wenn sich hier nun Leute beschweren das Touch ID mit sehr zeitintensiven Mitteln umgangen werden kann,
dann bitte iOS User selber.

ich beschwere mich nicht, ich will nur verdeutlichen dass es eben weit weniger sicher ist als angenommen wir (ich zitiere hier mal ein forenmitglied "einfache fingerabdruckkopiermethoden funktionieren bei dem iphone nicht" weil ja nicht nur die obere tote hautschicht gescannt wird).

Etwas sicheres als iOS bzw OS X findet man am Markt nicht.

Unsinn...

Kritik ist auch dazu da um ein Produkt zu verbessern...das sollten sich einige vielleicht mal verinnerlichen, auch wenn die hier vorgebrachte Kritik im wesentlichen nur eine Wiederholung der Kritik an biometrischen Authentifizierungsmechanismen ist.

 

[jediric]

Ich bediene mein iPhone fast ausschließlich mit der rechten Hand.
Also werde ich einfach einen Finger der Linken Hand für TouchID nutzen (am besten den kleinen Finger^^, da dieses nie an das Handy rankommt )

Außerdem, wenn gestohlen -> iPhone Suche durch iCloud hat ne menge Anti-Diebstahl-Funktionen.