Interview zum Hack der iPhone-TouchID: „Erschreckend einfach“

starbug-hacked-touchidAm Sonntag Abend berichteten wir, dass es einem Hacker des Chaos Computer Clubs gelungen ist, die Fingerabdrucksperre des vor wenigen Tagen erschienen iPhone zu umgehen. Wir haben ein Interview mit Starbug zu seinem Hack geführt.

netzpolitik.org: Woher hast du den Fingerabdruck für die Attrappe? Reicht ein Abdruck einer Flasche oder des iPhones selbst?

Starbug: Für den hier gezeigten Hack habe ich den Abdruck direkt vom Display des iPhones genommen. Die Oberfläche bietet sich ja perfekt an und was gibt es besseres, als den Abdruck gleich auf dem Gerät zu haben, dass man hacken will? Natürlich bieten sich aber auch Abdrücke auf Flaschen oder Türklinken an.

netzpolitik.org: Wie einfach war es für Dich, die Fingerabdrucksperre zu umgehen?

Starbug: Erschreckend einfach. Ich hatte mit ein bis zwei Wochen intensiver Arbeit gerechnet. Aber schon nach den ersten Tests zeigte sich, dass die Frage nach dem Material für die Attrappe keine grosse Rolle spielt. Von da an war es eigentlich nur eine Frage ausreichend guter Auflösungen und Qualitäten der Einzelschritte der Attrappenherstellung.

netzpolitik.org: Braucht man dafür Spezialwissen oder kann das jeder machen?

Starbug: Überhaupt nicht. Eigentlich alle Informationen sind seit Jahren im Internet verfügbar. Der Chaos Computer Club hat schon vor fast zehn Jahren mit einer sehr ähnlichen Technik alle damals verfügbaren Fingerabdruckscanner überlistet.

netzpolitik.org: Was war das schwerste am Hack?

Starbug: Die Nano-Sim schneiden.

netzpolitik.org: Apple sagt, das ist sicher. Und nun?

Starbug: Ich gehe nicht davon aus, dass Apple da großartig Konsequenzen draus ziehen wird. Ihnen muss klar gewesen sein, dass früher oder später jemand kommt und TouchID hackt. Sie sitzen das jetzt aus und verkaufen weiter ihre Telefone. Und die Leute werden sie auch weiter kaufen und natürlich auch den Fingerabdrucksensor weiter benutzen.

netzpolitik.org: Sogar Bruce Schneier sagt, das System wäre ein Kompromiss zwischen Komfort und Sicherheit. Siehst Du das auch so?

Starbug: Ja, mit einer klaren Verschiebung Richtung Komfort. Fairerweise muss man aber auch sagen, dass der Aufwand einen Fingerabdruck nachzumachen schon höher ist, als einem Benutzer bei der Eingabe seines Entsperrcodes über die Schulter zu schauen. Besonders Problematisch wird es in dem Fall, wenn mit dem Fingerabdruck dann Apps gekauft werden und so monetärer Schaden entsteht. Und man muss sich immer vor Augen halten, dass man die Herausgabe eines Codes verweigern kann, das Auflegen des Fingers auf ein Telefon aber nicht.

netzpolitik.org: Kann man Fingerabdrucksperren auch richtig machen? Wenn ja, wie sähe das aus?

Starbug: Apple hatte ja behauptet, dass sie tieferliegende Hautschichten für die Erkennung benutzen. Ein Verfahren würde den hier demonstrierten Angriff unmöglich machen, wenn es Merkmale nutzt, die nicht auf einem Glas oder dem Display des iPhones direkt hinterlassen werden. Allerdings gibt auch bzw. besonders in der Biometrie den Spruch: Es gibt keine sicheren Systeme. Jedes System kann mit ausreichend hohem Aufwand und Zeit und Geld geknackt werden.

netzpolitik.org: Gibt es (überhaupt) biometrische Daten, die zur Authentifizierung geeignet sind?

Starbug: Geeignet sind Daten, die nicht überall hinterlassen werden oder leicht abzufotografieren sind. Das heißt aber auch nur, dass man größeren Aufwand treiben muss, um an die Rohdaten für eine Attrappe zu kommen; überwindbar sind sie trotzdem.

netzpolitik.org: Was ist – neben der Umgehbarkeit – das größte Problem mit biometrischer Identifikation im Alltag? Welche Auswirkungen hat das?

Starbug: Ich empfinde das automatische Identifizieren von Menschen allgemein als problematisch. Vor allem, wenn es z.B. wie bei der Gesichtserkennung ohne das Zutun des Einzelnen passiert. So können Bewegungsprofile erstellt oder Menschen erfasst werden, die an einer Demonstration teilnehmen. In Hamburg gibt es ein Projekt, wo schon Grundschüler ihre Fingerabdrücke hergeben müssen, um ihr Schulessen zu bekommen. Damit werden Menschen an Technik gewöhnt, die früher nur zur Identifizierung von Kriminellen verwendet wurde.

netzpolitik.org: Was machst du jetzt mit dem auf Is Touch ID hacked yet? gespendeten Geld?

Starbug: Das Geld und die Sachspenden gehen komplett an die Raumfahrtagentur, einem Berliner Hackerspace. Bisher sind allein auf dem Paypal-Account schon über 3000 Euro eingetroffen.

18 Ergänzungen

  1. Muss man das wirklich so auswälzen? Die Technik ist lange bekannt. Nur weil Apple das jetzt macht? Es ist doch klar warum es gemacht wird: In App 1-click ohne Passwort-Schewellsenkung für Deppen ohne das Apple ein Amazon Patent verletzt. And nothing of value was lost.

    1. Naja das mit der unteren Fingerschicht scheint ja schonmal nicht zu stimmen.
      Würde ich glatt als Kundentäuschung auslegen.
      Warum nicht darüber berichten?

  2. Das größte Problem sehe ich darin, daß hier FIngerabdrücke automatisch maschinenlesbar erfaßt werden. Apple behauptet zwar, die Fingerabdrücke würden das Gerät nicht verlassen, aber das ist vermutlich eine reine Softwarebeschränkung.Ein Hacker, ein Bundestrojaner oder Apple können mit Sicherheit die Fingerabdrücke auslesen ohne, daß es der Benutzer mitbekommt. Und spätestens wenn die NSA vor der Tür steht und es verlangt wird Apple das tun. Und die Fingerabdrücke mit den Bestandsdaten bei Apple bzw. dem Telekommunikationsanbieter zusammenzuführen ist dann kein Problem mehr. Ich befürchte, daß es nicht lange dauern wird, bis die NSA zu jedem iPhonebesitzer auch einen Fingerabdruck in der Datenbank haben wird.

    1. Die haben doch nichts zu befürchten — und wenn es dazu noch beqeum und sicher ist? Win-win. Ich denke es wird niemanden interessieren.

  3. Das Problem ist die Alltäglichkeit der automatischen BIOMETRISCHEN Identifikation die hiermit weiter vorran getrieben wird. E-Perso here we come.

    „Starbug: … Ihnen muss klar gewesen sein, dass .. jemand … TouchID hackt.

    netzpolitik.org: Sogar Bruce Schneier sagt, das System wäre ein Kompromiss zwischen Komfort und Sicherheit. Siehst Du das auch so?

    Starbug: Ja, mit einer klaren Verschiebung Richtung Komfort.“

  4. Ich finde ja spannend, wie nahezu alle Seiten, die auch über den Hack berichten, es schaffen nur sich selbst zu referenzieren aber Heise, der Verlag, der ja immerhin für diese frühzeitige Gelegenheit gesorgt hat, mit keinem Wort zu erwähnen, geschweige denn mal einen Link zu setzen. Gerade bei netzpolitik.org ist das mehr als schwach, kommerzieller ausgerichtete Medien, können noch als Pseudo-Entschuldigung „mehr Klicks für die eigene Seite“ anführen.

    Für alle, die der genaue Weg zum Umgehen interessiert, hat Heise heute ein Detail-Video veröffentlicht: http://www.heise.de/ct/artikel/Der-iPhone-Fingerabdruck-Hack-1965783.html

    1. Das sind halt so typische Zeit-Online Digital News … Aufreger für hohe Klickzahlen, technisch ist da nichts Neues hinter. Und letztendlich ist es nur Beqeumlichkeit vs AluHelm. Und beide Seiten haben Recht. Ändert aber an der Frage nichts, dass man sich das mit dem Telephon trotzdem überlegen sollte — eben weil es so praktisch ist. Wer braucht noch einen ePerso wenn grade Dein Telefon Dein ePerso+EC Karte geworden ist?

  5. Es wäre natürlich für den Nutzer auch sicherer wenn er nicht den Zeigefinger nimmt. Sondern einen der anderen 9.
    So macht man es den Hacker auch schwerer.
    Den Finger für den Print zu verwenden mit dem man das handy auch zu 99% bedient ist wie ein Sicherheitscode „1234“

  6. Auf der Heise Seite gibt es ein für mich interessantes Kommentar zu dem Thema, dort schreibt mit jemand von der Seele … ich versuche es sinngemäß wiederzugeben: „Nur ein Hacker würde ein Passwort als sicherer einstufen als einen Fingerabdruck, egal wie einfach der Abdruck zu rekonstruieren ist, um damit etwas anzurichten braucht man auch das zugehörige Telefon, das Passwort kann der Hacker bequem von zuhause aus knacken …“

    Ich glaube alle haben inzwischen verstanden, dass selbst das aufwändigste, von Menschen entwickelte Sicherheitssystem, nicht unüberwindbar ist. Es wird also IMMER ein Kompromiss sein. Ein Passwort kann man abschauen oder knacken, einen Fingerabdruck reproduzieren, Gesichtserkennungen mit Fotos oder 3D Modellen täuschen usw. Aber trotzdem, all diese Schutzmechanismen sind besser als sein Telefon, welches immer mehr zum Mittelpunkt des Lebens wird (NFC Kreditkarten, Bank Accounts, Mails, persönliche Daten usw.) ungeschützt herumzutragen.

    Man könnte auch jammern weil Autos so leicht zu klauen sind aber sperrt man sie desshalb garnicht mehr ab? Oder sperrt ihr eure Wohnungen und Häuser nicht ab weil eh jeder heute im Internet eine Anleitung zum Schlossknacken laden kann?

    Apple sagt doch selbst worum es ihnen dabei geht und das ist genau der Punkt, die Leute sollen wenigstens irgendwie ihre Daten am Telefon schützen.

    Was ich aber dennoch kritisieren MUSS ist die Sache mit der etwas falschen Aussage was die „subepidermal skinlayer“ betrifft, vielleicht wird Apple darauf aber sogar reagieren, ich könnte es mir vorstellen, wenn der Durck groß genug wird. Ebenso die Frage wie dicht das System wirklich ist. Bei aller Aufregung, darf man nicht vergessen, dass unsere Fingerabdrücke inzwischen an vielen Stellen gesammelt werden und dann (ganz legal und offiziell) an US Amerikanische Behörden weitergegeben werden (ebenso wie Kreditkarteninformationen usw.).

    Am Ende des Tages sehe ich den Schrit von Apple als durchaus richtig, wichtig ist nur, dass Apple sein Sicherheitsversprechen einhält, sonst läuft man gefahr, dass die User das Feature aus Angst nicht nutzen und damit ihre Daten erst recht wieder ungeschützt bleiben.

    1. So ähnlich habe ich auch gedacht!
      Meinen Haustürschlüssel muss auch nur jemand anderes fotografieren und kann ihn dann reproduzieren . . .
      Son Fingerabdruck macht man nicht mal eben, die Code Sperre kann man hingegen innerhalb einer Stunde mit BruteForce knacken. Also ist touchid schon ein Fortschritt wenn man so will. Ich werde es nicht nutzen, weil ich gar kein Smartphone habe ;)

      Apple Fanboy bin ich nicht aber wie sind denn Android Handies geschützt ? Etwa besser ? Ich denke die tun sich da alle nichts.

      Code Sperre hatte keiner drin, jetzt haben alle eine.

      Das einzige was ich als heikel ansehe ist das auch vom Hacker angesprochene:

      Wenn die polizei denkt auf deinem Handy sei was was der Aufklärung dient musst du das Handy mit dem Finger entsperren ! Einen Passcode müsste man aber zum Beispiel nicht rausrücken ;)

      Über das eigentliche heikle redet also mal wieder keiner?!

  7. Wurde der Fingerabdruck eigentlich auf dem Display platziert?

    Selbst wenn dieser „Hack“ funktioniert, brauchst du immer noch einen geeigneten Fingerabdruck vom richtigen Finger.

    Vom Display einen brauchbaren Fingerabdruck zu sichern, ist bei normaler Benutzung nahezu unmöglich, da die Abdrücke in der Regel zu verschmiert sind.

    Wenn ich mir ansehe, wie ich das Gerät benutze, ist der einzige Fingerabdruck, der tatsächlich darauf landet, der Zeigefinger der rechten Hand.

    Wenn du z.B. den kleinen Finger oder den Ringfinger deiner „falschen“ Hand (bei mir wäre das die linke) scannst, ist die Wahrscheinlichkeit, davon einen Abdruck zu bekommen nahe Null.

    Egal ob vom Handy selbst, einem Glas, einer Flasche oder sonst wo in der Öffentlichkeit. Und zwar einfach nur Aufgrund der Tatsache, dass du deine „falsche“ Hand so gut wie nie benutzt.

    Der Fehler bei diesem „Hack“ liegt in der Annahme, man hätte einen brauchbaren Fingerabdruck vom richtigen Finger vorliegen.
    Die Annahme trifft in der Realität allerdings in den seltesten Fällen zu.

  8. Sicherheit ist immer relativ. ich halte einen Fingerabdruck durchaus für sicherer, als ein einfaches Passwort, oder gar nur eine kurze Zahlenkombination.

  9. Sehr spannend ist das „Update“, das der CCC für den „Hack“ des touchID heraus gebracht hat. Es wäre besser gewesen, Politikmache und Hardware erst einmal auseinander zu halten, bevor die Apple-Laterne angezündet wird und Menschen sich vor einen obskuren Karren spannen lassen. Etwas Geschmäckle hat die Sache, schon wie lieb Heise Hardware spendet und soviel enorm viel Spenden-Kleingeld zusammenkommt. Schönen Gruß an die PR-Abteilung und Take the money and run.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.