Biometrie Handys knacken mit Sekundenkleber und Kontaktlinsen

Ganz so einfach lässt sich Face ID des iPhone X nicht austricksen, wie ein Reporter es in diesem Selbstversuch ausprobiert.

(Foto: AP)
  • Jan Krissler vom Chaos Computer Club beschäftigt sich seit 15 Jahren mit biometrischen Verfahren, bei denen Körperteile - zum Beispiel Gesicht, Iris oder Fingerabdruck - als Passwort verwendet werden.
  • Es gelingt ihm vergleichsweise leicht, diese Verfahren zu überlisten.
Von Hakan Tanriverdi

"Es geht nicht um die Nazi-Sex-Party", sagt Jan Krissler, und das Publikum lacht. Er steht auf der Bühne, hinter ihm auf der Leinwand bei der Fachkonferenz IT-Defense ist eine Ausgabe der Bild-Zeitung aus dem Jahr 2008 zu sehen. In der Mitte, unter den "Huren", die "Nazi-Uniformen" trugen, steht die Schlagzeile, über die Krissler reden will: "Hacker klauen Fingerabdruck von Schäuble!" Gemeint waren damals Hacker des Chaos Computer Clubs (CCC), nämlich Krissler selbst. Er grinst.

Krissler, 33, der auch auf sein Hacker-Alias "starbug" hört, ist einer der wenigen IT-Sicherheitsforscher, die sich auf biometrische Systeme spezialisiert haben. Fingerabdrucksensoren, Gesichtserkennung, Iris-Scanner: Krissler kommt an ihnen vorbei, er macht das seit mehr als 15 Jahren. Seinen Job erledigt er so gut, dass Apple seine Expertise einkaufte, um die Sicherheit der Gesichtserkennung des iPhone X zu prüfen, das vergangenes Jahr auf den Markt kam. Krissler hat auch als Erster Touch ID ausgehebelt, den Fingerabdruckscanner der vorherigen iPhone-Versionen.

Face ID erfolgreich getäuscht - von 3-D-Maske und Kind

Zur Einführung des iPhone X sprach Apple nur in Superlativen über die neue Technologie Face ID. Nun könnten zwei Fälle den Konzern dazu bringen, diese Aussagen zu relativieren. Von Hakan Tanriverdi mehr ...

Biometrische Systeme werden den Alltag bestimmen

Solche Sensoren gehören zur Standardausrüstung moderner Rechner. "Mittlerweile gibt es kein Notebook und kein Smartphone mehr, das ohne ein solches System ausgeliefert wird", sagt Krissler. Wer also wissen will, wie sicher diese Verfahren sind, die den Alltag schon bald komplett bestimmen werden, der sollte mit starbug sprechen.

Allerdings hat er schlechte Nachrichten: "Man kann ohne zu lügen sagen, dass alle biometrischen Systeme zu überwinden sind." Immerhin: "Früher ist es sehr viel leichter gewesen, die Systeme auszutricksen." Als Beispiel erzählt Krissler, dass es bei seinen ersten Versuchen ausgereicht habe, eine Computermaus einfach nur anzuhauchen. Die abgelagerten Fettrückstände auf dem Sensor der Maus wurden als aufgelegter Finger erkannt und der Benutzer an Windows-Rechnern angemeldet. Die Technik auf Rechnern von heute sei deutlich komplexer, man brauche einen "hochqualitativen" Fingerabdruck.

Um an Schäubles Fingerabdruck zu kommen, reichte es aus, eine Veranstaltung zu besuchen, auf der der damalige Innenminister eine Rede hielt. "Wir wollten mal gucken, ob es möglich ist, von einer so hochbewachten Persönlichkeit die Fingerabdrücke zu klauen", sagt Krissler. Es klappte. Während der Veranstaltung trank Schäuble aus einem Glas, die Hacker nahmen es anschließend mit. "Wir haben ein bisschen Voodoo betrieben und die Fingerabdrücke sichtbar gemacht", sagt Krissler. Eine fertige Attrappe des Fingerabdrucks veröffentlichten die Hacker 2008 in der Club-Zeitschrift.

CCC-Hacker haben sich einfach das Glas geschnappt, aus dem Schäuble getrunken hat.

(Foto: Screenshot)

Fettrückstände an Gläsern können mit Pinsel und Farbpulver sichtbar gemacht werden oder aber, ganz ohne Berührung, mit Sekundenkleber. Dank einer speziellen Technik lagert sich eine Schicht davon auf dem Fingerabdruck ab, der anschließend gescannt und digital bearbeitet werden kann.

Krissler druckte ein Foto seiner Iris aus, um das S8 zu knacken

Diesen Punkt betont Krissler während seines Vortrags: Moderne Biometrie-Systeme verlassen sich auf Merkmale, die Menschen zur Schau stellen. An Fingerabdrücke zu kommen ist deshalb kein Problem. Ein Bild, auf dem Fingerkuppen zu sehen sind, das mit einer Kamera geschossen und anschließend ins Netz geladen wurde, kann ausreichen, um einen Fingerabdruck zu rekonstruieren. "Gegen Fotos kann man sich nicht wirklich wehren", sagt Krissler. Auf dem Hacker-Kongress des CCC zeigte er 2014, wie leicht es möglich wäre, auf diese Art den Fingerabdruck der Verteidigungsministerin Ursula von der Leyen zu fälschen.

Wer ihm zuhört, ist erstaunt, wie einfach es ihm immer wieder zu fallen scheint, biometrische Systeme zu überlisten. Für das Samsung Galaxy S8, immerhin das Vorzeige-Smartphone des Konzerns, reichte es ihm aus, ein Foto seiner Iris auszudrucken und anschließend eine Kontaktlinse auf das ausgedruckte Auge zu legen. Ein Foto allein hätte allerdings nicht ausgereicht. Die Krümmung der Kontaktlinse simuliert für den Sensor der Smartphone-Kamera, dass es sich um einen Augapfel handelt.

Komfort schlägt absolute Sicherheit

Auch die Gesichtserkennung des iPhone X wurde mittlerweile überlistet, von einer vietnamesischen Sicherheitsfirma. Die Hürden sind hoch, der finanzielle Aufwand mit 130 Euro Materialkosten gering. Starbug selbst schweigt zum iPhone X - er hat ja einen Vertrag mit Apple.

Grundsätzlich könne er verstehen, dass biometrische Systeme für Nutzer angenehm seien: "Menschen wollen diese Systeme nutzen. Die haben keinen Bock, sich ewig lange Passwörter zu merken." Komfort schlägt absolute Sicherheit. Apple betont, dass viele Nutzer vor der Einführung von Touch ID überhaupt keine Smartphone-Sperre hatten. Der biometrische Sensor sei ein deutlicher Forschritt. Auch starbug verwendet den Fingerabdruckscanner von Apple, deaktiviert ihn aber zum Beispiel bei Reisen in die USA.

Hoffnung Venenerkennung

Das sicherste System von allen sei übrigens die Venenerkennung, sagt Krissler. Dabei werden Blutgefäße in der Hand oder im Finger betrachtet und für die Authentifizierung verwendet. "Der schwierige Teil ist der erste Schritt: Überhaupt an die Muster zu kommen." Die Venen liegen unter der Haut. Der Vorteil: Man trägt sie nicht öffentlich zur Schau, Fotos von ihnen auf Facebook gibt es erst recht nicht.

Doch auch dieses System lasse sich überlisten, davon ist Krissler überzeugt. "Aber das sind Tests, an denen wir gerade noch arbeiten."

Wer unsere Gesichter wirklich will

Algorithmen stufen Menschen anhand von Fotos als schwul ein, und Apples neues Handy scannt Gesichter: Die Technik der Gesichtserkennung macht viele nervös. Doch in der Debatte geht einiges durcheinander. Von Jannis Brühl und Hakan Tanriverdi mehr...