BrutePrint: Fingerabdrucksperre von Android-Smartphones lässt sich überlisten, iPhones sind sicher
Die biometrische Entsperrung von Smartphones ist eine schnelle und zumindest vermeintliche sichere Möglichkeit, auf dem Smartphone gespeicherte Daten zu sichern. Nun haben Sicherheitsforscher der Universität Zhejian gezeigt, dass die biometrische Verschlüsselung vieler Smartphones nicht sicher ist.
Allerdings: Der beschriebene Angriff ist aufwändig. So muss das Handy geöffnet und zusätzliche Hardware angeschlossen werden, wobei ein Neustart des Telefons vermieden werden muss. Interessant ist ein solcher Angriff dementsprechend eher nicht für Diebe, stattdessen handelt es sich eher um eine Möglichkeit für gezielte Angriffe. Weiterhin kann dieser Angriff auch von Ermittlungsbehörden genutzt werden.
Grundsätzlich lässt sich der Angriff in mehrere Phasen beziehungsweise einzelne Angriffe aufteilen. So muss in einem ersten Schritt die Zahl der möglichen Versuche für die Authentifizierung über einen Fingerabdruck erhöht werden. Zwei unterschiedliche Fehler erlauben die Aufhebung dieser Begrenzung.
Schließlich wird der Fingerabdrucksensor selbst Ziel des Angriffs. Dieser ist über einen SPI-Bus mit der eigentlichen Platine verbunden. Es handelt sich demnach um keine dedizierte Anbindung, so dürfte SPI Nutzern von Entwicklerplatinen ein Begriff sein. Genutzt wird eine kleine und günstige Entwicklerplatine, welche die Kommunikation zwischen dem Fingerabdrucksensor und dem Prozessor sowohl auslesen als auch manipulieren kann.
Automatisiert werden in Datenbanken gespeicherte Fingerabdrücke getestet. Dabei konnten alle zehn getesteten Android-Smartphones auf diese Weise - wenn auch mit unterschiedlichem Zeitbedarf - und auch das Huawei Mate 30 Pro 5G und das Huawei P40 geknackt werden. Sicher gegen den eigentlichen Angriff waren hingegen das Apple iPhone SE und das Apple iPhone 7. Bei diesen Smartphones ist die Kommunikation mit dem Fingerabdrucksensor verschlüsselt.
Quelle(n)
Arxiv (PDF), Ars Technica, Heise, Foto von George Prentzas auf Unsplash