News Samsung Galaxy S10: Ultra­schall-Finger­abdruck­sensor lässt sich austricksen

[Toni_himbeere]

für 99% der Privat-Käufer irrelevant, das Gerät sperren wird nicht als Diebstahl-Schutz verwendet, was ja klar ist. Handys werden gesperrt, aber ohnehin nicht neben fremden Händen liegen gelassen. Es geht eher darum, dass Leute die man kennt, und wo man eben mal das Gerät liegen lässt nicht drauf schauen sollen.

Hier ist ja ein Diebstahl die erste Bedingung, danach forensisch die Fingerabdrücke abzunehmen und es für den 3D Druck aufzubereiten. Wozu dann auch noch die wenigsten 08-15 Diebe im Stande sind.

Selbst dann, relevant wäre es erst, wenn die Gesetzgebung den Nutzer der Fingerabdruck-Entsperrung für den Schaden haften lässt.

Da haben wir doch eine ganz andere Ansicht.

Auf meinem Gerät sind Passwörter gespeichert, Konzertkarten, Kinokarten, Onlineshopping Daten, PayPal, Bilder meines lebens der letzten 10 Jahre, Ziele der Navigationsapp, Streamingapps, Online Banking und was weiß ich nicht noch alles.

Natürlich ist das intern je nachdem nochmals gesperrt bzw. ich nutze nur "Guthaben", aber wenn ein Foto des Fingerabdrucks + etwas Kontrast + n 3D Drucker ausreicht um das zügig zu umgehen, dann ist das durchaus wichtig zu erwähnen.

Und mit einem Schlüssel nachmachen hat das an sich auch nichts zu tun da es ja hier explizit nur mit dem Ultraschallsensor funktioniert. Den Aufschrei wenn man FaceID mit einem Foto auf ner Melone aushebeln kann hätte ich mal gern gehört(und nein deine Gesichtsform und Proportionen stiehlt keiner mit).

Und natürlich ist es auch ein Diebstahlschutz. Gelegenheiten machen Diebe, durchaus richtig, aber wenn jeder weiß, dass man mit dem Gerät als Dieb als solches nichts anfangen kann, dann ist die Wahrscheinlichkeit sehr hoch das es keiner versucht, selbst wenns möglich ist(lohnt sich ja nicht).

Wenn man jetzt leicht an die Daten des Smartphones kommen kann, lohnt es sich einfach mehr ein Smartphone zu stehlen. Ein Smartphone in der heutigen Zeit hat mehr sensible Daten als ein Portmonaie, umso wichtiger ist es das es dieben so umständlich wie möglich gemacht wird. Und wenn etwas unsicher ist, dann ja geb ich lieber das Passwort ein, als gefahr zu laufen.

Amateurdiebe sind nie ein Problem gewesen und werden es auch nicht sein. Das Problem sind organisierte Banden. Und da Smartphones eben oft Glas irgendwo haben ist die Wahrscheinlichkeit garnicht soooo gering, dass man mit dem Diebstahl des Gerätes auch einen Fingerabdruck mit bekommt. Dafür brauchts dann auch kein CSI Labor mehr um das zu umgehen, sondern ist wohl erschreckend leicht und günstig.

Ich würd die S10 Linie deshalb nicht kategorisch ausschließen, aber im Hinterkopf hat man das halt schon

Ergänzung (9. April 2019)

Jetzt könnte man sagen, wieso nutzt man nicht einen Venenscanner zum entsperren? Aber dann lese ich, daß auch diese austricksen lassen. Jetzt könnte man Fingerabdruck und Venenscanner kombinieren, was die Hürde beim austricksen steigt, aber auch nicht eine 100%ige Sicherheit gibt.

Es geh nicht darum, dass man das irgendwie austricken kann. Das geht mit allem irgendwie.

Die sache ist die, es muß so kompliziert wie möglich sein.

Nimm FaceID, kannst du auch austricksen, aber dazu brauchst du einen 3D Scan der Kopfform sowie Fotos des Gesichts. Dinge die ein Dieb nicht einfach mal eben so bekommt, eigentlich garnicht. Also theoretisch möglich, praktisch aber nicht.

So jetzt nimmst du den Fingerabdruck, der kann allein durch die Glasfront oder Rückseite schon auf dem Telefon vorhanden sein UND falls das so ist, wird es "relativ leicht" und günstig das Telefon zu entsperren.

Ich glaub jetzt auch nicht, dass deshalb massenhaft S10 geklaut und "gehacked" werden. Gut zu wissen ist es aber dennoch als S10 nutzer

 

[Serana]

Wenn man jetzt leicht an die Daten des Smartphones kommen kann, lohnt es sich einfach mehr ein Smartphone zu stehlen.

Es lohnt sich ebenso wie vorher. Auch vorher war es schon die erste Amtshandlung das Gerät zu sperren oder komplett zu löschen sobald man merkt, daß es abhanden gekommen ist. Daran hat sich auch nach der neuen Lage nichts geändert. Sobald das Teil aber gesperrt ist bringt der Fingerabdruck nichts mehr.

Anders ausgedrückt: Für persönliche Daten auf dem Smartphone ist das vermeintlich vertrauenswürdige soziale Umfeld nach wie vor die gefährlichste Umgebung. Dort sind nämlich diejenigen Leute zu finden die genügend Zeit haben um an die entsprechenden biometrischen Merkmale zu kommen. Diese können dann in aller Ruhe so aufbereitet werden damit das Smartphone innerhalb von Sekunden geknackt werden kann um an die gewünschten Daten zu kommen. Wenn du dir da also ernsthaft Sorgen machst solltest du dein Smartphone immer bei dir tragen und es niemals (auch nicht nur kurz) irgendwo ablegen wo du es nicht zu jedem Zeitpunkt im Blick hast.

 

[areiland]

Man könnte sich ja auch einfach auf die Erkenntnis einigen, dass sich der Fingerabdrucksensor austricksen lässt, die Hürden für die praktische Umsetzung dann aber doch so hoch liegen, dass der gemeine Smartphone-Dieb dies nicht wird umsetzen können oder wollen. Denn abgesehen vom technischen KnowHow, einen Fingerabdruck in eine druckfähige Vorlage für den 3D-Drucker zu verwandeln, benötigt der gemeine Smartphone-Dieb dann auch noch einen 3D-Drucker, der qualitativ recht hochwertige Stücke erzeugen kann.

Mit anderen Worten, die theoretische Möglichkeit besteht - aber für ihre praktische Umsetzung liegen die Hürden so hoch, weil der zu treibende Aufwand dann doch recht hoch ist, dass er sich schlicht nicht lohnen würde. Es wäre höchstens bei Politikern, Geheimnisträgern und Wirtschaftslenkern etc. eine denkbare Option, um an Daten zu kommen. Und die werden dann ganz sicher kein Smartphone nutzen, das sich so leicht austricksen lässt. Bei allen anderen stünde wohl der Aufwand in keinem rechtfertigenden Verhältnis zum erzielbaren Ergebnis. Denn für ein paar Bilder oder sogar Bankdaten wird kaum jemand diesen Aufwand treiben. Das lohnt sich nur bei bekannten Zielen, bei denen man genaue Vorstellungen hat, was sich auf dem Gerät befinden und welchen Wert es haben könnte.

 

[Kingfisher OK]

Das sehe ich etwas anders, denn der Sinn hinter biometrischen Schlüssen besteht darin, dass sie nur einmal vorhanden und dem eigentlichen Zwecke nach nicht vervielfältigbar sind. Daher sollte es vor dem Hintergrund des Anspruchs dieser Technik bei einem Fingerabdrucksensor gar nicht möglich sein, ihn mit etwas anderem als dem Finger, dessen Abdruck gespeichert worden ist, erfolgreich auszulösen. Insofern kann man schon davon sprechen, dass der Sensor "ausgetrickt" wurde.
Dass so ein Schutz niemals vollständig sicher sein kann, ist klar, aber er sollte zumindest nicht auf solch einfache, offenbar mit relativ geringem Aufwand verbundene Weise überwunden werden können.

Wenn man das ganze mal auf die klassische Kryptografie überträgt, glaube ich aber kaum, dass die Natur ein Merkmal in den menschlichen Körper eingebaut hat, der es verhindert, "den privaten Schlüssel zu exportieren".

Letztendlich ist in meinen Augen sowieso fraglich, inwieweit überhaupt ein menschliches Merkmal, welches nunmal "fest" mit unserem Körper verknüpft ist zu nutzen. Denn wenn ich dieses verliere (veröffentliche) kann ich kein neuen privaten Schlüssel (Fingerabdruck) beantragen. Auch wenn Passwörter in vielen Punkten sehr schlecht sind, haben sie nunmal den Vorteil, ausgetauscht zu werden. Wird bei einem einmal veröffentlichten Fingerabdruck oder Iris-Scan eher schwierig. Aber da könnte man jetzt sicher stundenlang drüber diskutieren...

 

[Christock]

@Kingfisher OK

Ich sage doch ausdrücklich selbst im ersten Satz des zweiten Absatzes, dass keine wie auch immer geartete Gesamtheit von persönlichen biologischen Merkmalen absolut fälschungssicher sein kann - wie vermutlich grundsätzlich jede andere Methode auch. Es geht aber doch immer darum, den Aufwand für einen Angreifer möglichst groß zu gestalten, und der Nutzer Darkshark kann einen "falschen" funktionstüchtigen Abdruck ohne größeres Hexenwerk innerhalb von 20 Minuten erstellen.
Deinen Ausführungen im zweiten Absatz möchte ich gar nicht widersprechen, weil ich sie im Grundsatz teile. Nur muss man halt eine Abwägung treffen zwischen dem generellen Risiko, das man mit der Nutzung eines biometrischen Merkmals eingeht, und dem Aufwand, zu dem man bereit ist, um seine Daten zu schützen. Die Bereitschaft für Letzteres ist bei den allermeisten Menschen nicht sehr ausgeprägt und sie würden ohne einen Sensor halt eine schlichte Wischgeste oder ein kurzes, unsicheres Passwort nutzen. Man kann demnach unpräzise sagen: Sicheres Passwort > Fingerabdrucksensor > Unsicheres Passwort. Für die allermeisten Nutzer ist die Mitte der favorisierte Kompromiss, von dem sie sich (berechtigterweise) wünschen, dass er die Geräte so gut wie möglich schützt.

 

[Garack]

Trotz allem ist das S10 meiner Meinung nach aktuell das beste Smartphone auf dem Markt.

Es bietet fast alles.. :

• Gute Triplekamera
• Bestes Display auf den Markt
• Beste Soundqualität
• ! 3,5mm Klinkenanschluss !
• Wireless aufladbar, Stabil gebaut, Modernes Design, IP68 ect.

Einzig der Akku hätte größer sein dürfen.

Smartphone wie auch PC steht und fällt mit der Software. Android und dann noch die ganze Samsung Bloatware, damit ist es für mich nicht das beste Smartphone.

 

[Paladin301]

Seine Meinung, deine Meinung . . . Endlosdiskussion ohne Ergebnis.

 

[Bumba-Bobby]

Der Mehrwert liegt darin, den Sensor ins Display zu kriegen. So bleibt einem die dicke Warze namens homebutton unten oder rückseitig erspart

Und welchen Mehrwert hat man eine Photozelle mit Tesafilm abzukleben ? An welcher Stelle klebt man dann das Display am besten ab ?

 

[iNFECTED_pHILZ]

Und welchen Mehrwert hat man eine Photozelle mit Tesafilm abzukleben ? An welcher Stelle klebt man dann das Display am besten ab ?

Warum sollte ich irgendwas an meinem neuem Handy mit tesa abkleben?

 

[Bumba-Bobby]

Warum sollte ich irgendwas an meinem neuem Handy mit tesa abkleben?

weil ein speaker durch banales umpolen zum Mikrophon wird

 

[iNFECTED_pHILZ]

weil ein speaker durch banales umpolen zum Mikrophon wird

Keine Sorge, ich habe Schuhe mit Metallsohlen, das stört doch bekanntlich die Abhörfunktion der NSA...

 

[feidl74]

je mehr Schnickschnack desto unkontrolierbarer^^^. nunja was solls mein Nokia 3210 hat diese Probleme nicht und trotzdem ne anruftasteXD

 

[[wege]mini]

Je nach krimineller Energie und wie Interessant jemand ist.

kriminelle energie reicht irgend wann nicht mehr aus.

der, dessen namen man nicht nennt, hat dinge in seinem koffer, die willst du nicht kennen lernen und natürlich sagst du alles was du weist, wenn du das problem hast, in diese situation zu kommen.

die nsa überwacht natürlich so ziemlich jeden, wenn du aber dämlich genug sein solltest, dass sie einen grund haben, ihre immensen daten nach dir zu durchsuchen, dann solltest du wenigstens nicht davon überrascht sein

hier geht es um ultra schall sensoren.

mMn ist es keine gute idee, so etwas in milliarden von smartphones einzubauen. am ende entscheiden ja aber die user, ob sie es kaufen.

mfg

 

[Faultier]

Für Mich kommt allein aufgrund von Gerichtsurteilen wo auch in Deutschland die Polizei gegen deinen Willen das Gerät entspeeren darf per Handauflage Methode weiterhin nur PW + gezeichnetem in Frage.

 

[areiland]

@Faultier
In Deutschland darf Dich die Polizei nicht mal mit einem richterlichen Beschluss zur Entsperrung Deines Gerätes zwingen. Denn das würde gegen Dein Aussageverweigerungsrecht verstossen, nach dem Du Dich nicht selbst belasten musst. Die könnten Dich demnach bequatschen, aber nicht die Entsperrung erzwingen, indem sie Deinen Finger auf den Sensor pressen. Dürften die das, dann dürften sie auch die Herausgabe von Passwort oder Entsperrmuster erzwingen - was der Polizei aber nicht erlaubt ist. Ein Strafverfahren das nur auf so erlangten Beweisen basiert, würde krachend scheitern.

 

[Christock]

@areiland

Noch ist das in der Tat so, doch nach dem Willen von Horst Seehofer soll sich das bald ändern. Wie so oft ruhen unsere Hoffnung da beim Bundesverfassungsgericht.

 

[druckluft]

@areiland
doch nach dem Willen von Horst Seehofer soll sich das bald ändern. Wie so oft ruhen unsere Hoffnung da beim Bundesverfassungsgericht.

Man muss es ganz klar sagen: Diese Herren sind die allergrößte Bedrohung für die Verfassung, den Rechtsstaat und im allgemeinen für die Bevölkerung! Das muss inzwischen jedem klar geworden sein, was diese Leute für die Zukunft wollen. Die Frage für die mittelfristige Zukunft ist, wann und wie kommen wir ins Handeln um Drittes Reich und/oder DDR 2.0 zu verhindern!

 

[Kingkoxx]

Günstigere Geräte gibt es natürlich, aber die haben auch ALLE Schwächen in diversen Bereichen.
Wobei ich das S10 für 600 € echt nicht mehr teuer für ein Flaggschiff finde.

Falls du ein Gerät für ca. 350 € kennst, welches fast alle Features vom S10 besitzt (OLED Display, top Kamera, aktuelles Android, solide Verarbeitung, guter Akku...) dann bin ich sehr gespannt.

Auf den Klinkenanschluss kann ich sogar verzichten 😁
Am interessantesten finde ich im Moment das neue Galaxy A50 / M20 als sehr günstige Variante.
Da fehlt nur eine etwas hochwertigere Verarbeitung.

Nicht ganz 350€ aber nahe dran. Xiaomi Mi9.

 

[Ruff_Ryders88]

Nun dokumentiert jedoch Nutzer „Darkshark“ auf Imgur, wie er seinen eigenen Fingerabdruck erfolgreich simulieren und den Ultraschall-Sensor täuschen konnte. Nötig war dafür ein 3D-Drucker, den er mit einer zuvor aufbereiteten Fotografie seines Fingerabdrucks auf einem Glas speiste. Für die Vorlage seien wiederum lediglich das Smartphone selbst und ein Bildbearbeitungsprogramm erforderlich gewesen, mit dessen Hilfe er die Kontraste verstärkte. Mit einer Modellierungssoftware verhalf er der Schablone anschließend zur dritten Dimension. Bereits beim dritten Versuch sei das Experiment geglückt, wobei der erste Anlauf nur fehlgeschlagen sei, weil er die Schablone nicht gespiegelt habe.

Wenn das alles hierzu notwendig ist, wird es die meisten user nicht interessieren oder tangieren. Das ist meiner Meinung nach kein einfacher Weg zum austricksen sondern mit sehr viel Aufwand verbunden. Diejenigen die so hochsensible Daten auf dem Handy haben, sollten es eh nochmals in einem Safeguard oder ähnlichem abgesichert wissen.

 

[storkstork]

Die Kamera muss man mir erstmal Zeigen die vernünftige Bilder von Fingerabdrücken her zaubert von Personen die mehr als 1-2 Meter entfernt sind. Selbst 24MP-Cams zeigen da nur Matsche. Dazu noch einigermaßen bezahlbare 3D-Drucker die das dann vernünftig ausdrucken. - So ein theoretisches Szenario..

Aber wer den Mist nutzt, ist eh selber Schuld. Deinen Fingerabdruck bekomme ich mit Hilfe des Zubehörs aus einem Yps-Heft von vor 50 Jahren. - Neulich erst gesehen dass mein Smartphone das unterstützt - Direkt deaktiviert. Wisch-Pin reicht. Wichtiges lagere ich nicht auf dem Handy, und wenn dann bekommen Experten das auch mit Bruteforce raus. Was soll ich da jedes mal 20-30 Zeichen auf dem Mini-Display drücken um die Uhrzeit nachzusehen etc?!

Bitteschön...
https://www.heise.de/ct/artikel/Der-iPhone-Fingerabdruck-Hack-1965783.html

Ergänzung (11. April 2019)

Keine Sorge, ich habe Schuhe mit Metallsohlen, das stört doch bekanntlich die Abhörfunktion der NSA...

Nachdem du damit ordentlich auf dein Smartphone getreten bist, wahrscheinlich schon