News Apple Touch ID nicht sicher vor Fingerabdruckkopie

[hardwarekäufer]

@grooveXT

Die lobeshymne eines fanboys?

Die Erweiterung von 4 Ziffern auf ein passwort mit quertz und beliebiger Länge wäre ein kurzer Softwarekniff gewesen, hätte das poltern in der community erspart und wäre ein vielfaches sicherer.


Ob der Scanner tatsächlich den Abdruck an sich nicht scannt sollte jemand sicherstellen.. Ausbauen und gucken ob das Ding dazu in der Lage ist.

 

[schpaik]

@hardwarekäufer
In den iPhone Einstellungen kann man schon seit längerem zwischen dem "einfachen" vierstelligen Code und der komplexeren qwertz Variante wählen.

 

[hardwarekäufer]

Na dann stellt sich mir die Frage nach der Notwendigkeit der Fingerabdrucktechnik.

Vor allem, wenn Apple erst argumentiert, man würde den Fingerabdruck deshalb verwenden, weil er bequemer zu nutzen sei als der vierstellige Code und deshalb Nutzer geschützt würden die bisher keine Verschlüsselung aktiviert haben, aber dann auf kritische Stimmen reagiert indem man die verbesserte Verschlüsselung gegenüber dem vierstelligen Code verweist.

Nach der ursprünglichen Argumentation sollte der Fingerabdruck nicht den Code ersetzen, sondern ergänzen

Grundsätzlich hat Apple als Verkäufer und Hersteller nichts damit am Hut wie Kunden ihre Daten schützen, zumal sie das durch den Code und die Quertz-Variante schon mehr als Ausreichend erfüllt haben.
Mir drängt sich daher bevorzugt der Verdacht auf, dass der Fingerabdruck entweder andere Absichten verfolgt, oder einfach nur der verzweifelte aber zweifelhafte Versuch war, Innovation zu suggerieren..

 

[Autokiller677]

Was meinst du wie schwer es ist auf einem Touchpad an einen Fingerabdruck ran zu kommen...? Oder von einem Gerät, dass man ständig in den Händen trägt?

Man braucht erstmal einen isolierten, vollständigen (EDIT: Stimmt, man braucht nicht den ganzen), nicht verschmierten Fingerabdruck, und das in ziemlich hoher Auflösung. Ich glaube, da ist nicht sooo einfach ranzukommen, mich würde interessieren ob der CCC den realistisch nach einer halben Stunde Benutzung vom Display genommen hat, oder mit einem hochauflösenden Scanner direkt eingescannt.

Ich würde da wahrscheinlich einfach meinen kleinen Finger hinterlegen. Damit tippe ich schonmal nicht auf dem Touchscreen rum, und dass ich meinen kleinen Finger glatt und ganzflächig irgendwo aufsetze ist zumindest nicht so häufig, wie mit dem Zeigefinger.

Was Firmendaten angeht... dann sollen die doch einfach nochmal extra geschützt werden. Meine Bankingapp verlangt auch nochmal 2 Passwörter, Dropbox zumindest einen Code. Meine PGP Verschlüsselten E-Mails kann ohne PW für den PrivateKey auch keiner lesen. Trotzdem kann dann der Arbeitnehmer schnell per Touch ID einen Anruf tätigen, Whatsapp / SMS schicken, surfen etc.

 

[hardwarekäufer]

@Autokiller

vollständiger Fingerabdruck ist lt. Apple nicht nötig. Der Sensor ist extra so ausgelegt, dass er auch einen Teilabdruck einwandfrei identifiziert.

Ich finde es da schwieriger, auf einer Oberfläche mit Fingerabdrücken einer Person, herauszufinden, welcher Fingerabdruck vom Zeigefinger ist (sofern der Besitzer sein iPhone mit dem ZEigefinger gesperrt hat)

 

[blackvoron]

Ist ja lächerlich, es ist doch kein hack.

 

[4ndroid]

Kein Fingerabdruck-Sensor kann unsicherer Sein als die üblichen PINs und Passwörter eines Großteils der Nutzer ;-)

Sonst müsste noch da stehen: User-Passwörter nicht sicher vor 0815-hackern

 

[TNM]

Wäre ja zu schön gewesen wenn Apple tatsächlich einen Scanner mit Tiefenscan (scannt die Blutgefäße mit) einbaut. So nen 0815 Scanner kann man nunmal sogar mit Fotokopien umgehen, hat schon bei hochsicheren Alarmsystemen geklappt.

Die Leute wollen leider die Gefahren nicht sehen, wer könnte schon böses mit ihren biometrischen Daten vorhaben. Es ist wie ein Passwort das du im Leben nur 1x wählen darfst, ab da ist es unveränderlich. Klingt nach ner guten Idee.....

 

[TKtheONE]

Ich bin zwar echt kein apple Fan aber wie kommt man denn unbemerkt ein 2400 dpi Foto eines Fingerabdruckes ohne dass es auffällt?

Im Profibereich einfach auszutricksen, aber im Consumerbereich immer noch nutzbar und recht sicher vor fremdzugriff (Von der NSA mal abgesehen, die greifen ja vom System aus zu )

Peace
TK

 

[Strulf]

So ganz kann ich die Aufregung nicht verstehen. Ein Fingerabdruckscanner in einem Consumergerät lässt sich mit Aufwand umgehen. Das wussten wir auch schon vor dem iPhone. Auch die in den Businesslinien von Lenovo, HP oder Dell sind solche leichtgewichtigen Scanner verbaut und dort werden sie nach wie vor als Sicherheitsmedium akzeptiert.

Der Scanner soll gar nicht die hochsensiblen Bank- und Firmendaten schützen, sondern soll Sicherheit im Alltag populär machen. Nach wie vor nutzen sehr viele Nutzer ihre Smartphones völlig ohne Zugangsschutz, weil es bequemer ist. In diesem Bereich schafft TouchID einen großen Sicherheitsgewinn.

Immerhin bedarf es auch einiges an technischem Geschick, um einen Fingerabdruck zu replizieren. Weit weniger ist von Nöten, um eine einfache Wischgeste auf einem Androidgerät zu entschlüsseln oder eine vierstellige PIN herauszufinden.

Allenfalls kann man kritisieren, dass Teilen der Nutzerschaft vorgegaukelt wird, der Scanner sei sicherer als ein individuelles Passwort. Das ist er nicht, schließlich hinterlassen wir überall Fingerabdrücke, doch auch da gilt wie bei Fahrradschlössern, dass es allenfalls Zugangshindernisse sind, die alle mit Aufwand zu knacken sind.

TouchID ist Sicherheit für Consumer, einfach und elegant, ob knackbar oder nicht.

Sehe ich genau so. Allerdings funktioniert Touch ID nur im Zusammenhang mit einer Passsperre, und wenn das iPhone 48 Stunden nicht entsperrt wurde, schaltet das System automatisch auf diese Passsperre um. Und da kann man dann eben doch wieder eine vierstellige Nummer knacken und muss gar nicht über den Fingerabdruck gehen.

 

[jensimbenz]

Status steht auf YES!

"Yes!

Big congratulations to Starbug (of the Chaos Computer Club), the first to demonstrate the hack! As soon as he tells us where, we'll be posting here the instructions on what to do with pledges.

We don't have exactly the video we wanted from him ( [1] [2]), but others have confirmed it, including Marc Rogers (@marcwrogers) [3] [4] and the team of Mudge Zatko and Doinick Rizzo. We are in contact with Starbug, he's working on the video for us (apparently he's got a day job that delays things), but since we have several confirmations, it's pointless to hold things up. "

 

[terraconz]

Dann hast du aber keine Passsperre aktiv (um zum Hauptbildschirm zu gelangen). Und darum gings mir. Die meisten iPhone-Besitzer haben diese Sperre aktiv, müssen den Schlüssel also jedes Mal eingeben, wenn wenn Sie das iPhone entsperren möchten (ich weiß nicht, was du unter entsperren verstehst, aber ich meine die Anzeige des Hauptbildschirmes, um das Telefon zu benutzen).

Unter entsperren verstehe ich (wie vermutlich die meisten) ein gesperrtes Telefon (Lockscreen) in den Betriebsbereiten Modus zu schalten (meistens durch wischgeste).

 

[R4NG3R]

Er nutzt 2 verschiedene Finger.

den er ebenfalls vorher hinterlegt haben kann

 

[Daedal]

Ist ja lächerlich, es ist doch kein hack.

Die Großmutter aller hacks ist das ausspähen eines Zettels mit notiertem Passwort in der Schublade des Schreibtisches wo der PC drauf steht. Echte Hacks sind selten Remote oder Software basierend. Es geht darum Sicherheitshürden zu überwinden und das mit so wenig Aufwand wie möglich.
http://de.wikipedia.org/wiki/Hacker_(Computersicherheit)

Chronisten der Hackerkultur gehen bei ihrer Suche nach dem Ursprung teilweise zurück bis in die Antike. Die griechische Erfindung des Trojanischen Pferdes gilt manchen als erster Hack überhaupt.

 

[hardwarekäufer]

Also ist die Grundfrage jetzt ob Apple lügt?
Wenn der Scanner subcutan arbeitet kann die Methode vom CCC nicht funktionieren...

 

[Moodhound]

Die meißten Diebe sind bei uns Osteuropäer die betrungenden Leuten in der Bahn die Handys klauen um sie weiter zu verkaufen. Und das können sie mit iOS7 nicht mehr.

Ach, wie musste ich lachen! Genau das ist mir in Berlin passiert :-) adee iphöne

Das Bedürfnis der Sicherheit bei einem Smartphone ist nicht so gross, wie bei einem Laptop, wo wirklich wichtige Daten drauf sind. Und eben als Diebstahlschutz für den Wiederverkaufswert dessen, ist es ne gute Idee

 

[Euphoria]

Ist halt nicht so einfach bei nur vier Zahlen...

Man kann aber auch beim iPhone ein Passwort festlegen und nicht nur einen 4 stelligen Code

@Topic
Naja es geht ja nicht nur um Daten, die Touch ID funktioniert ja nicht nur um das Telefon zu entsperren und Apple will das ausbauen...
Ich wäre nicht überrascht, wenn man später damit Zahlungen autorisieren kann und da wären wir bei dem Thema...
Mal davon abgesehen, dass auch auf einem Telefon wichtige und geheime Informationen drauf sein könnten.

 

[geislpxs]

Interessant, dass das noch niemand bemerkt hat:
Für Personen, die sonst Betrunkene anmalen, ist das mit dem Fingerabdruckscanner eine ganz neue Möglichkeit, sich ein bisschen "Spaß" zu verschaffen. Auch Iphonebesitzer fliegen doch sturztrunken auf jeder WG-Party rum, die ein bisschen aus dem Rude gelaufen ist. Man könnte fast sagen, dass sich das Iphone5 mit Alkohol hacken lässt. Durch die Möglichkeit der Bezahlung mit dem Finger würde ich sogar soweit gehen und dem Iphone eine potentiell therapeuthische Wirkung zusprechen. Den benötigten Finger kann man in den heiteren Stunden davor garantiert mehrfach identifizieren.

 

[chris233]

nichts neues. Fingerabdruckscanner im professionellen Bereich haben deshalb zusätzlich eine sog. Lebenderkennung mit Puls und Tiefenscan der Haut

Kann man es im iPhone mit einem Passwort kombinieren? Dann wäre es eigentlich optimal

 

[Raptor2063]

also ich weiß nicht es geht hier nicht um eine Hochsicherheitssperre! Es geht darum sein Gerät schnell und doch sicher vor anderen zu entsperren (ohne dass jemand den Code abkucken kann).

Mehr als 4 Zahlen ist schon lange möglich, nutzt halt keiner weil es einfach nervig ist und lange dauert z.B. 12 Stellen einzugeben.

Abgesehen davon bleibt eben immernoch, erstmal an einen guten Abdruck rankommen und im Normalfall ist es eben nicht so einfach und man muss eben auch noch Wissen welcher Finger es ist.

Ich kann mir sonstige Szenarien ausdenken, aber die kann ich ebenso für alle anderen Sicherheitsfeatures herbeireden. Das Schlüsselproblem ist doch ähnlich, hab ich den Schlüssel kann ich ihn kopieren - was für eine Sicherheitslücke?!
Ist ja nicht so wie im TV dass mal eben an der Bar vom Glas der 100%-perfekte Abdruck gelinkt werden kann (wie gesagt, richtiger Finger und in einer Qualität dass sie für die Kopie ausreicht). Das wäre für mich jetzt eher ein Grund, wenn man in der Actionserie per Tesa nen Abdruck kopiert und davon was bastelt und damit entsperrt (und auch wirklich komplett verschiende Leute und keine Laborbedingungen).