Notebookcheck Logo

BrutePrint: Fingerabdrucksperre von Android-Smartphones lässt sich überlisten, iPhones sind sicher

BrutePrint: Fingerabdrucksensoren lassen sich überwinden - mit Aufwand (Bild: George Prentzas)
BrutePrint: Fingerabdrucksensoren lassen sich überwinden - mit Aufwand (Bild: George Prentzas)
Android-Smartphones lassen sich Sicherheitsforschern zufolge auch bei hinterlegte, biometrischer Authentifizierung entsperren. Die Ausführung ist alles andere als trivial. Uninteressant ist der Angriff deswegen aber trotzdem nicht.

Die biometrische Entsperrung von Smartphones ist eine schnelle und zumindest vermeintliche sichere Möglichkeit, auf dem Smartphone gespeicherte Daten zu sichern. Nun haben Sicherheitsforscher der Universität Zhejian gezeigt, dass die biometrische Verschlüsselung vieler Smartphones nicht sicher ist.

Allerdings: Der beschriebene Angriff ist aufwändig. So muss das Handy geöffnet und zusätzliche Hardware angeschlossen werden, wobei ein Neustart des Telefons vermieden werden muss. Interessant ist ein solcher Angriff dementsprechend eher nicht für Diebe, stattdessen handelt es sich eher um eine Möglichkeit für gezielte Angriffe. Weiterhin kann dieser Angriff auch von Ermittlungsbehörden genutzt werden.

Grundsätzlich lässt sich der Angriff in mehrere Phasen beziehungsweise einzelne Angriffe aufteilen. So muss in einem ersten Schritt die Zahl der möglichen Versuche für die Authentifizierung über einen Fingerabdruck erhöht werden. Zwei unterschiedliche Fehler erlauben die Aufhebung dieser Begrenzung.

Schließlich wird der Fingerabdrucksensor selbst Ziel des Angriffs. Dieser ist über einen SPI-Bus mit der eigentlichen Platine verbunden. Es handelt sich demnach um keine dedizierte Anbindung, so dürfte SPI Nutzern von Entwicklerplatinen ein Begriff sein. Genutzt wird eine kleine und günstige Entwicklerplatine, welche die Kommunikation zwischen dem Fingerabdrucksensor und dem Prozessor sowohl auslesen als auch manipulieren kann.

Automatisiert werden in Datenbanken gespeicherte Fingerabdrücke getestet. Dabei konnten alle zehn getesteten Android-Smartphones auf diese Weise - wenn auch mit unterschiedlichem Zeitbedarf - und auch das Huawei Mate 30 Pro 5G und das Huawei P40 geknackt werden. Sicher gegen den eigentlichen Angriff waren hingegen das Apple iPhone SE und das Apple iPhone 7. Bei diesen Smartphones ist die Kommunikation mit dem Fingerabdrucksensor verschlüsselt.

BrutePrint: Die für die Entsperrung benötigte Zeit unterscheidet sich erheblich
BrutePrint: Die für die Entsperrung benötigte Zeit unterscheidet sich erheblich
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2023-05 > BrutePrint: Fingerabdrucksperre von Android-Smartphones lässt sich überlisten, iPhones sind sicher
Autor: Silvio Werner, 23.05.2023 (Update: 23.05.2023)