Smartphone-Sicherheit
Samsung Galaxy S8: Iris-Scanner mit Drucker und Kontaktlinse ausgetrickst
Der Iris-Scanner des Galaxy S8 wurde vom Chaos Computer Club ausgehebelt. Was bedeutet das für die Sicherheit des Smartphones und wie reagiert Samsung?
Hackern des Chaos Computer Clubs (CCC) ist es gelungen, den Iris-Scanner des Galaxy S8 zu überlisten. Der Iris-Scanner ist als Sicherheitsmechanismus beim Sperren und Entsperren des Smartphones gedacht. Ein Infrarotsensor erkennt die Iris des Smartphone-Besitzers und soll gewährleisten, dass nur der Eigentümer Zugriff auf sein Smartphone erhält. Ein Mehr an Sicherheit klingt erst einmal gut, doch nachdem es dem Chaos Computer Club (CCC) gelungen ist, den Irisscanner mit einfachsten Mitteln auszutricksen, sollte man dieses Sicherheitskonzept noch einmal überdenken - bzw. sich nicht zu sicher wähnen.
Ein Video des CCC zeigt, wie wenig Aufwand nötig ist, um den Iris-Scanner auszutricksen. Mit einer herkömmlichen Kamera wird der Nutzer im Infrarotmodus bzw. Nachtmodus fotografiert. Anschließend wird das Auge mit einem normalen Drucker auf normalem Papier ausgedruckt. Die Hacker des CCC legen eine Kontaktlinse über das ausgedruckte Auge. Tatsächlich: Mit dieser simplen Attrappe lässt sich der Iris-Scanner überlisten und entsperrt tatsächlich das Smartphone. Der Scanner hat einen Ausdruck auf Papier, über den eine Kontaktlinse gelegt wurde, als menschliches Auge erkannt.
Lesetipp: Android-Smartphone absichern: Das müssen Sie wissen
Sicherheitsrisiko höher als beim Fingerabdruck-Scanner
Die Technologie des Iris-Scanners is noch relativ neu. Der Fingerabdruck-Sensor hingegen existiert schon länger und gehört mittlerweile schon beinahe zur Standardausstattung neuer Smartphones. Dirk Engling, Sprecher des Chaos Computer Clubs erklärt, der Iris-Scanner sei noch unsicherer als der Fingerabdruck-Scanner. Und auch hier war es den Hackern bereits gelungen, das System zu umgehen. Wer den Iris-Scanner austricksen will, braucht kaum mehr als ein Foto des Smartphone-Besitzers.
Das höhere Risiko kommt auch daher, da Menschenauf Fotos viel eher die Augen zur Schau stellen als beispielsweise die Handflächen. Ein hochauflösendes Foto würde reichen, heißt es. Solche Bilder könnten auch unter Umständen im Internet zu finden sein. Die Hacker berichten, das teuerste am ganzen Versuch sei das Galaxy S8 selbst gewesen. "Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück," empfiehlt Engling.
Samsung reagiert
In einem Artikel zum Thema berichtet Netzwelt unterdessen, Samsung habe auf den Fund des CCC umgehend reagiert und versucht, das Szenario nachzustellen. Dies sei nur unter großem Aufwand gelungen. Netzwelt zitiert den koreanischen Smartphone-Hersteller: "Die vom Chaos Computer Club beschriebenen Ergebnise konnten nur unter einer in der Realität unwahrscheinlichen Kombination vom Umständen erzielt werden. Voraussetzung ist die Situation, dass zur gleichen Zet ein hochauflösendes, mit einer Infrarot-Kamera aufgenommenes Bild der Iris des Smartphone-Besitzers sowie eine Kontaktlinse und das entsprechende Smartphone vorliegen."
