Skip to main content

Galaxy S5 Fingerabdruck-Login getäuscht von vertrautem iPhone 5s TouchID Hack

Es dauerte nur vier Tage, bis deutsche Forscher den Fingerabdruck-Scanner des Samsung Galaxy S5 dazu brachten, anstelle eines echten Fingers einen Abdruck eines Fingerabdrucks zu akzeptieren.

Trotz Fingerabdruck-Authentifizierung gehört das neue Flaggschiff von Samsung zu den Headlinern Die Implementierung von "es lässt viel zu wünschen übrig", sagte SRLabs in einer Videodemonstration des Hacks auf Youtube.

Lesen: Samsung Galaxy S5 Test: Verbessertes Telefon immer noch einen Schritt hinter anderen Android-Modellen

Die Forscher eingeschrieben Fingerabdruck von einem echten Finger auf der S5, dann benutzte eine Form eines Fingerabdrucks, um es zu entsperren - die gleiche verwendet im vergangenen Jahr, um Apples TouchID zu parodieren. Das Video zeigt, wie die Implementierung von Samsung mit einem unter Laborbedingungen hergestellten Werkzeug umgangen werden kann, aber es basiert auf nichts anderem als einem Kameratelefon-Foto eines latenten Drucks von einem Smartphone-Bildschirm, sagte SRLabs.

[Lesen Sie weiter: Wie? entfernen Sie Malware von Ihrem Windows PC]

Latente Abdrücke sind nicht sofort mit dem bloßen Auge sichtbar, sondern "können mit Magnesiumpulver sichtbar gemacht werden, das sanft über harte und glänzende Oberflächen gestrichen wird, um sie zu beleuchten", so die Explore Forensics Website.

Die Schwäche von Samsungs Implementierung wird noch verschärft durch die Integration mit Paypal, die es Benutzern ermöglicht, Transaktionen und Geldtransfers mit dem Fingerabdruck-Scanner zu authentifizieren, so SRLabs. Die Integration gibt einem Möchtegern-Angreifer einen noch größeren Anreiz, ein Telefon zu hacken, sagte er.

Samsungs Galaxy S5.

PayPal spielte die Risiken herunter und sagte, dass nicht der Fingerabdruck Zugang zu seinem Dienst bietet: "PayPal speichert niemals den Fingerabdruck mit Authentifizierung auf dem Galaxy S5 oder hat sogar Zugriff darauf. Der Scan entsperrt einen sicheren kryptografischen Schlüssel, der als Passwortersatz für das Telefon dient. Wir können den Schlüssel von einem verlorenen oder gestohlenen Gerät einfach deaktivieren, und Sie können einen neuen Schlüssel erstellen. "

Fingerabdruckauthentifizierung ist seit Apples Einfügung in das iPhone 5S von Touch ID, einem Fingerabdrucksensor, ein heißes Smartphone-Feature geworden Home Button.

Touch ID wurde letztes Jahr vom German Chaos Computer Club mit einer Latexkopie eines Fingerabdrucks gehackt. Der Hack von Samsungs Fingerabdruckscanner wirft erneut Fragen über die Wirksamkeit der Technologie auf.

Die Verwendung von Fingerabdrücken hat nach Ansicht von SRLabs zwei Nachteile im Vergleich zu Passwörtern. Sobald ein Fingerabdruck gestohlen wird, gibt es keine Möglichkeit, ihn zu ändern. Um dies zu kompensieren, müssen digitalisierte Fingerabdrücke sehr schwer zu stehlen sein. Außerdem hinterlassen Benutzer überall Kopien ihrer Fingerabdrücke. Auch auf den Geräten, die sie schützen, sagte die Organisation auf ihrer Website.

"Während Biometrie immer mit einem Kompromiss aus Sicherheit für Bequemlichkeit einhergeht, liegt es in der Verantwortung des Herstellers, sie so zu implementieren, dass die Benutzer nicht entscheidend sind Daten und Zahlungskonten in Gefahr, "sagte SRLabs.

Auch wenn der Hack ernst ist, ist es unwahrscheinlich, den Verkauf des Galaxy S5 zu beeinflussen.

" Die Mehrheit der Verbraucher sind in diesem Stadium nicht sehr bewusst Smartphone Sicherheitsprobleme. Wenn sie ein neues Smartphone kaufen, ist das nicht die erste Frage, die ihnen in den Sinn kommt ", sagte Malik Saadi, Praxisleiter bei ABI Research.

Samsung antwortete nicht sofort auf Anfragen nach einem Kommentar.