Fingerabdrücke zu hacken ist eigentlich ziemlich einfach – und billig
Menschen in Filmen greifen oft schnell darauf zurück, jemandem die Hand abzusägen, um an einem Fingerabdruckscanner vorbeizukommen. Ein Bericht des Kraken Security Labs-Teams zeigt, dass es viel einfacher und weniger grausam wäre, den Fingerabdruck einer Person mit ein wenig handelsüblichem Holzleim nachzubilden.
Kraken stellt fest, dass biometrische Sicherheit immer häufiger geworden ist, da Smartphone-, Tablet- und Laptop-Hersteller Fingerabdruckscanner in ihre Produkte integriert haben. Diese Scanner bieten eine bequeme Möglichkeit, auf diese Geräte zuzugreifen, ohne ein Passwort einzugeben.
Der Bericht besagt, dass ein Fingerabdruckscanner „gehackt“ werden kann, indem ein Bild des Fingerabdrucks des Ziels verwendet wird, ein Negativ in Photoshop erstellt, das resultierende Bild gedruckt und dann etwas Holzleim auf den nachgeahmten Fingerabdruck gelegt wird, um viele kommerzielle Scanner auszutricksen.
„Wir konnten diesen bekannten Angriff auf die Mehrheit der Geräte durchführen, die unserem Team zum Testen zur Verfügung standen“, sagt Kraken in seinem Bericht über den Angriff. „Wäre dies ein echter Angriff gewesen, hätten wir Zugang zu einer Vielzahl sensibler Informationen gehabt.“
Kraken ist nicht die einzige Sicherheitsfirma, die erkennt, dass Kleber verwendet werden kann, um einen Fingerabdruckscanner zu täuschen. Cisco Talos veröffentlichte im April 2020 einen ausführlicheren Bericht, in dem verschiedene Möglichkeiten untersucht wurden – einschließlich dieses Klebetricks —, wie der Fingerabdruck einer Person von einem Angreifer gefälscht werden kann.
„Unsere Tests zeigten, dass wir im Durchschnitt eine Erfolgsquote von ~ 80 Prozent bei der Verwendung der gefälschten Fingerabdrücke erzielten, bei denen die Sensoren mindestens einmal umgangen wurden“, sagt Cisco Talos. „Diese Erfolgsquote zu erreichen, war eine schwierige und mühsame Arbeit. Wir fanden mehrere Hindernisse und Einschränkungen in Bezug auf Skalierung und materialphysikalische Eigenschaften. Trotzdem bedeutet diese Erfolgsquote, dass wir eine sehr hohe Wahrscheinlichkeit haben, eines der getesteten Geräte zu entsperren, bevor es wieder in die PIN-Entsperrung fällt.“
Cisco Talos sagt, dass die meisten Menschen sich keine Sorgen machen müssen, dass jemand eine Kopie seines Fingerabdrucks erstellt, um auf ihre Geräte zuzugreifen, stellt jedoch fest, dass „eine Person, die wahrscheinlich von einem gut finanzierten und motivierten Akteur ins Visier genommen wird, keine Fingerabdruckauthentifizierung verwenden sollte.“
Kraken rät den Menschen, sich daran zu erinnern, dass die Umgehung der fingerabdruckbasierten Authentifizierung relativ einfach und aufgrund ihrer Demonstration billiger ist, als viele Verbraucher erwarten. (Obwohl diese Annahme auf jemandem basiert, der bereits einen Laserdrucker und Photoshop besitzt.)
„Es sollte inzwischen klar sein, dass Ihr Fingerabdruck zwar einzigartig für Sie ist, aber dennoch relativ einfach ausgenutzt werden kann“, sagt Kraken. „Im besten Fall sollten Sie es nur als Second-Factor-Authentifizierung (2FA) verwenden.“