Finger und Augen auf dem MWC 2017

3 Mrz 2017

Wir haben schon oft von unsicheren Fingerabdrucksensoren und anderen biometrischen Technologien berichtet. Wir sind aber natürlich nicht die Einzigen.

Es scheint so, als ob der ganze Wirbel im Endeffekt etwas gebracht hätte. Auf dem Mobile World Congress (MWC) 2017 in Barcelona präsentierten viele Hersteller von smarten Sensoren Geräte, die sicherer sind, als wir erwartet hätten.

Die Entwicklung der Fingerabdrucksensoren

IDEX, ein norwegisches Unternehmen, dass Fingerabdrucksensoren an LG und andere Unternehmen liefert, erklärt, dass die meisten Ihrer Partnerunternehmen, bei denen es sich um Smartphone-Entwickler handelt, den Zugang zu Fingerabdrucksensoren-Daten nur in einem sicheren Umfeld zulassen.

Ich sprach mit verschiedenen Fingerabdrucksensoren-Herstellern auf dem MWC und alle verwenden vollständig geschützte Programme, um solche Daten zu verwenden. Zu Beginn werden die „rohen“ Daten von den Fingerabdrucksensoren verschlüsselt, dann erkennt das System die charakteristischen Papillarleisten, verschlüsselt diese ebenfalls und sendet sie an einen sicheren Speicherplatz. All diese Operationen finden in einem vertrauensvollen Durchführungsumfeld statt— einem isolierten Platz, auf den nicht durch äußere Verfahren zugegriffen werden kann.

Aber einige Sensoren-Hersteller lassen immer noch die Gadget-Unternehmen entscheiden, ob sie den Schutzmechanismus verwenden möchten. Davon abgesehen, werden Daten immer auf dem Weg vom Sensor zum Prozessor sicher verschlüsselt und das ist auch gut so: In der Vergangenheit lag die Schwachstelle vom Lesen der Fingerabdrücke genau hier.

Ein Sensoren-Hersteller mit Namen CrucialTec beschloss, Biometrie noch… na ja, biometrischer zu gestalten, indem er dem Fingerabdruckscanner Herzschlagsensoren hinzufügte. Dabei handelt es sich um eine Schutzmaßnahme: 3D-ausgedruckte Fingerkopien, Finger-Nachbildungen und sogar echte Finger, die ihren Besitzern abgeschnitten wurden, funktionieren hiermit nicht. Dasselbe gilt für einfache Kopien der Papillarleisten der Finger, die man mit einem normalen Drucker herstellen kann.

Dieses System überprüft die Papillarleisten, um deren Ähnlichkeit zu bestätigen, entsperrt jedoch das Smartphone erst dann, wenn es einen richtigen Herzschlag wahrnimmt. Dieses System ist demnach in der Fingerabdruckauthentizitäts-Sicherheit einen großen Schritt voraus. Einfallsreiche Kriminelle werden sicherlich einen Weg finden, um diesen Schutz auch auszutricksen, zum Beispiel mit einer Kopie der Papillarleisten des Fingers, die man mithilfe der echten, lebendigen Hand einer anderen Person auf den Scanner drückt, aber es ist natürlich viel schwieriger.

Ein chinesisches Unternehmen präsentierte eine ungewöhnliche Anwendung: Einen Fingerabdruckscanner, der direkt in das Glas des Smartphone-Bildschirms eingebaut war. Dabei gab es jedoch einige Einschränkungen: Ersten war das einzige Exemplar in China geblieben, weshalb das Unternehmen es nicht zeigen konnte. Außerdem sind sie nicht vollkommen sicher, wie Nutzer verstehen sollen, auf welchen Teil des Bildschirms sie drücken müssen, um sich einzuloggen, da der Sensor nicht deutlich sichtbar ist! Letztes Jahr hat IDEX eine ähnliche Idee präsentiert, aber es ging anscheinend nicht über den Entwurf hinaus.

Entwickler sagen außerdem, dass Fingerabdrucksensoren sich nicht auf die Gadgets beschränken; sie können in Türschlösser oder Autoschlüssel eingebaut werden. Verschiedene Unternehmen bieten flexible und sehr dünne Sensoren an, die man als Teil einer Kreditkarte verwenden kann.

Die Technologie kann auf unterschiedliche Weise verwendet werden: IDEX bietet z.B. ein Programm an, dass keinen zusätzlichen Strom braucht, während CrucialTec eine Batterie und einen einfachen Bildschirm in die Karte einbaut, um anzuzeigen, ob der Nutzer erfolgreich autorisiert wurde oder nicht. Der Fingerabdrucksensor kann eine gute Alternative für den PIN-Code darstellen: Er ist einfacher zu verwenden und schwieriger zu fälschen, da es sehr leicht ist, einen PIN auszuspionieren, wenn eine Person diesen eingibt.

Ein bisschen mehr Biometrie

Vor zwei Jahren präsentierte Qualcomm SenseID — sicherere und schnelle Ultraschall-Fingerabdruckscanner. Dieses Jahr bot das Unternehmen eine andere Authentifizierungsmethode an, die Ihre Iris scannt. Jede Person hat eine einzigartige Iris, was diese Authentifizierungsmethode sehr verlässlich macht.

Das System von Qualcomm ist neu, daher wurde es bisher nur in Prototypen eingebaut, funktioniert aber überraschend gut: schnell und fehlerlos. Falls Sie sich fragen, warum diese Technologie so spät auf den Smartphone Markt gelangt, ist die Antwort einfach: Frühere Kameras waren zu langsam und Bildprozessoren waren nicht leistungsstark genug.

Nebenbei kann das Iriserkennungssystem von Qualcomm die gefälschte Kopie einer Iris von einem echten Auge unterscheiden. Sie hatten ein überraschend echt aussehendes 3-D-ausgedrucktes Gesicht am Stand von Qualcomm und die Software verwechselte dieses nicht mit einem echten Gesicht. Soweit ich es verstanden habe, achtet das System darauf, dass Augen sich immer ein bisschen bewegen.

Man muss hinzufügen, dass das System die Iris sogar durch dicke, schwarze Sonnenbrillengläser erkennt. Leider weigert sich Qualcomm uns zu erklären, wie man dieses Ergebnis erzielt. Generell ist Iriserkennung viel sicherer als z.B. Gesichtserkennung.

Es leidet jedoch unter demselben Problem wie alle biometrischen Technologien: Sobald Kriminelle einen Weg finden, biometrische Daten zu stehlen und zu verwenden (und sie werden es mit Sicherheit versuchen, falls biometrische GAA-Authentifizierungsmethoden sich verbreiten), haben die Nutzer ein Problem, da sie Ihre Gesichter, Iris oder Fingerabdrücke nicht ändern können. PINs und Passwörter können in Sekundenschnelle geändert werden.

Verschiedene andere Konzepte vom MWC 2017

Wir haben eine Menge an interessanten Innovationen in Verbindung mit Informationssicherheit dieses Jahr in Barcelona gesehen. Zum Beispiel präsentierte Qualcomm maschinelle Lerntechnologien, die in die Geräte eingebaut wurden. Das heißt, dass die Mobilprozessoren von Snapdragon so leistungsstark geworden sind, dass sie Nervennetze trainieren können. Qualcomm zeigte die ersten Schritte in diese Richtung letztes Jahr, als sie eine Lösung präsentierten, die versuchte, Gegenstände auf Bildern zu erkennen. Jetzt hat sich diese Technologie in eine universelle Maschine entwickelt, die mit vielen berühmten Frameworks kompatibel ist und Entwicklern zur Verfügung gestellt wurde.

Dies ist ein Schritt in die Zukunft: Eingebautes maschinelles Lernen kann Nutzer davon befreien, Daten zur Cloud senden zu müssen. Das lässt die Idee der Privatsphäre aufblühen, als diese schon unvorstellbar geworden war, da maschinelles Lernen normalerweise Cloud-Technologien voraussetzt, das heißt, Daten werden preisgegeben. Derzeit handelt es sich nur um eine Maschine und noch nicht um eine nutzungsbereite Lösung.

Na ja, eine Technologie verwendet es bereits— eine Technologie entwickelt von (Sie haben es erraten) Qualcomm. Sie heißt App Protect und ermöglicht die Anwendung heuristischer Algorithmen für die Erkennung von bösartigen Anwendungen auf dem Hardware-Software-Niveau. Qualcomm sieht eine App als bösartig an, wenn diese versucht, etwas insgeheim auszuführen— Erfassen von der Information über den Ort und die Kontaktdetails des Nutzers, Senden oder Abfangen von SMS und ähnliche Dinge. App Protect hilft dabei, solche Apps zu erkennen und ihnen den Zugang zu sensiblen Daten zu verwehren. Die Technologie ist noch keine fertige Lösung; sie muss erst in eine Sicherheits-App eingebaut werden. Zusammenfassend macht unser Kaspersky Antivirus und die Sicherheitslösung für Android dies auf Software-Niveau möglich.

MWC 2017 hat die Sicherheit mehr in den Mittelpunkt gestellt, als dies in vorherigen Jahren der Fall war. Heute sehen Sie das Wort „Sicherheit“ an fast jedem Stand. Auch wenn Dinge nicht wirklich sicher sind, merkt man, dass Hersteller anfangen, sich um den Schutz Gedanken zu machen.

Bezogen auf die biometrische Authentifizierung an sich, kann diese Technologie die Nachteile überwinden, die sie heutzutage noch aufweist. Diese wird nie vollständig sicher sein, da eine vollständige Sicherheit nicht existiert. Aber wir sehen, dass es in die richtige Richtung geht, was uns sehr erfreut.