{"id":23729,"date":"2020-04-16T11:11:12","date_gmt":"2020-04-16T09:11:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23729"},"modified":"2020-04-30T18:52:03","modified_gmt":"2020-04-30T16:52:03","slug":"sas2020-fingerprint-cloning","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sas2020-fingerprint-cloning\/23729\/","title":{"rendered":"Fingerabdr\u00fccke f\u00e4lschen \u2013 m\u00f6glich, aber eher unwahrscheinlich"},"content":{"rendered":"<p><a href=\"https:\/\/www.kaspersky.de\/blog\/fingerprints-sensors-security\/6785\/\" target=\"_blank\" rel=\"noopener\">Die Sicherheit der auf Fingerabdr\u00fccken basierenden Autorisierung<\/a> ist seit Jahren ein stark umstrittenes Thema, das immer wieder zu heftigen Debatten f\u00fchrt. Bereits 2013, kurz nach der Ver\u00f6ffentlichung des iPhone 5S mit TouchID, zeigten Forscher, <a href=\"https:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\" target=\"_blank\" rel=\"noopener nofollow\">dass die Technologie nicht so sicher ist, wie sie auf den ersten Blick scheint<\/a>: mit dem Foto eines Fingerabdrucks auf einer Glasoberfl\u00e4che, stellten die Forscher eine Art Atrappe her, die das System t\u00e4uschen konnte. Doch die Technologie schl\u00e4ft nicht und Verbesserungen zeigten Hoffnung auf sicherheitstechnische Verbesserung.<\/p>\n<p>Im vergangenen Jahr haben Hersteller beispielsweise damit begonnen, Smartphones mit <a href=\"https:\/\/www.kaspersky.de\/blog\/mwc19-recap\/18684\/\" target=\"_blank\" rel=\"noopener\">Ultraschall-Fingerabdruckscannern<\/a> auszustatten, die unter dem Bildschirm verborgen sind. Dadurch entf\u00e4llt die Notwendigkeit zus\u00e4tzlicher Panels und, zumindest in der Theorie, sind diese Art der Scanner sicherer.<\/p>\n<p>Unsere Kollegen von Cisco Talos <a href=\"https:\/\/blog.talosintelligence.com\/2020\/04\/fingerprint-research.html\" target=\"_blank\" rel=\"noopener nofollow\">haben sich dazu entschlossen<\/a>, verschiedene Arten von Fingerabdruckscannern in modernen Ger\u00e4ten genauer unter die Lupe zu nehmen und diese auf Herz und Nieren zu testen.<\/p>\n<h2>Die Autorisierung von Fingerabdr\u00fccken in der Theorie<\/h2>\n<p>Zun\u00e4chst m\u00f6chten wir Ihr Wissen \u00fcber die Funktionsweise von Fingerabdruckscannern auffrischen. Die Grundidee ist einfach: Sie legen Ihren Finger auf einen Smartphone- bzw. Laptop-Scanner oder ein Smart Lock, und der Sensor extrahiert ein Bild Ihres Fingerabdrucks. Jeder Scanner-Typ erkennt Fingerabdr\u00fccke auf seine eigene Art und Weise. Das Cisco Talos-Team konzentrierte sich bei seiner Analyse auf die drei beliebtesten:<\/p>\n<ul>\n<li><strong>Kapazitive Scanner<\/strong> sind die g\u00e4ngigsten Scanner-Typen. Sie erzeugen ein Bild durch eine kleine elektrische Ladung, die von eingebauten Miniaturkondensatoren erzeugt wird, die Strom speichern k\u00f6nnen. Wenn der Finger den Scanner ber\u00fchrt, werden diese Kondensatoren entladen. Ein gro\u00dffl\u00e4chigerer Kontakt der Papillarlinien f\u00fchrt zu mehr Entladung; L\u00fccken zwischen Haut und Sensor (Fingerabdruckt\u00e4ler) f\u00fchren zu einer geringeren Entladung. Der Scanner misst die Differenz und ermittelt das Muster.<\/li>\n<li><strong>Optische Scanner<\/strong> erstellen ein Foto des Fingerabdrucks. Das Ger\u00e4t beleuchtet den Finger durch ein Prisma, w\u00e4hrend die Papillarlinien und T\u00e4ler dieses Licht reflektieren. Der Sensor liest die daraus resultierenden Informationen und wandelt sie dann in ein Bild um.<\/li>\n<li><strong>Ultraschallscanner<\/strong> verwenden anstelle von Licht ein Ultraschallsignal und zeichnen das von Papillarlinien und T\u00e4lern erzeugte Echo auf (wie bei der Lichtreflexion haben Grate und T\u00e4ler unterschiedliche Echos). Dieser Scanner-Typ muss nicht mit dem Finger in Kontakt sein, und kann sich daher unter dem Bildschirm befinden. Dar\u00fcber hinaus \u201eh\u00f6rt\u201c der Scanner nicht nur den Teil des Fingers, der sich in der N\u00e4he der Oberfl\u00e4che des Ger\u00e4ts befindet, sondern auch die Fingerumrisse, die weiter vom Sensor entfernt sind. Auf diese Weise ersteht eine Art dreidimensionales Bild, wodurch der Scanner F\u00e4lschungen erkennt, die aus flachen Bildkopien erstellt wurden.<\/li>\n<\/ul>\n<p>Nachdem das Ger\u00e4t Ihren Fingerabdruck erhalten hat, vergleicht der Scanner oder das Betriebssystem ihn mit dem im Ger\u00e4t gespeicherten Abdruck. Da es keine fehlerfreie Methode zum Lesen von Fingerabdr\u00fccken gibt, l\u00e4sst jeder Hersteller eine bestimmte Fehlerquote zu.<\/p>\n<p>Je gr\u00f6sser dieser Spielraum ist, desto einfacher ist es, einen Fingerabdruck zu f\u00e4lschen. Bei strengeren Ma\u00dfnahmen und einer geringer zul\u00e4ssigen Fehlerquote, ist es schwieriger, den Scanner auszutricksen, doch gleichzeitig ist auch die Wahrscheinlichkeit, dass das Gadget seinen eigenen Besitzer nicht erkennt, h\u00f6her.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n<h2>So k\u00f6nnen Fingerabdr\u00fccke gef\u00e4lscht werden<\/h2>\n<p>Um eine physische Kopie eines Fingerabdrucks zu erstellen, m\u00fcssen Sie logischerweise erst \u00fcber einen solchen Abdruck verf\u00fcgen. Das Forschungsteam hat daf\u00fcr drei M\u00f6glichkeiten gefunden:<\/p>\n<h3>Fingerabdr\u00fccke entwenden. Methode 1: Eine Gussform erstellen<\/h3>\n<p>Es ist m\u00f6glich, eine Art Gussform des Zielfingerabdrucks zu erstellen, wenn das Opfer beispielsweise bewusstlos oder au\u00dfer Gefecht gesetzt ist. F\u00fcr eine solche Form ist jedes weiche Material, das sp\u00e4ter aush\u00e4rtet, geeignet.<\/p>\n<p>Die Form kann dann von einem Angreifer verwendet werden, um die F\u00e4lschung einer Fingerkuppe zu erstellen. Die offensichtliche Schwierigkeit besteht darin, dass der Angreifer physischen Zugang zu seinem Opfer haben muss.<\/p>\n<h3>Fingerabdr\u00fccke entwenden. Methode 2: Ein Scanner-Bild ergattern<\/h3>\n<p>Eine weitere M\u00f6glichkeit besteht darin, an einen Fingerabdruck-Scan zu gelangen. Diese Methode ist technisch komplizierter, doch die gute Nachricht f\u00fcr Diebe ist, dass nicht alle Unternehmen, die biometrische Daten verarbeiten, diese auch sicher speichern. Es ist also nicht unm\u00f6glich, gescannte <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-biostar2-leak\/\" target=\"_blank\" rel=\"noopener nofollow\">Fingerabdr\u00fccke online zu finden<\/a> oder sie g\u00fcnstig im Darknet zu kaufen.<\/p>\n<p>Der n\u00e4chste Schritt besteht darin, dass plane Bild in ein 3D-Modell umzuwandeln, um dieses mit einem 3D-Drucker auszudrucken. Zum einen erlaubte das Programm, mit dem die Forscher das Bild erstellten, ihnen nicht, die Gr\u00f6\u00dfe eigenst\u00e4ndig festzulegen. Zum anderen musste das im g\u00fcnstigen 3D-Drucker verwendete Fotopolymer nach dem Drucken erw\u00e4rmt werden, was die Abmessungen des Modells ver\u00e4nderte.<\/p>\n<p>Drittens, als es den Forschern endlich gelang, ein geeignetes Modell zu erstellen, stellte sich heraus, dass das Polymer deutlich zu hart war und keinen einzigen Scanner t\u00e4uschen konnte. Um dieses Problem zu umgehen, beschlossen die Forscher, anstelle eines Fingermodells einen Gipsverband zu drucken, aus dem sie dann einen Prothesenfinger aus einem elastischeren Material herstellten.<\/p>\n<h3>Fingerabdr\u00fccke entwenden. Methode 3: Fingerabdruck auf einer Glasoberfl\u00e4che fotografieren<\/h3>\n<p>Eine weitere und vermutlich auch die einfachste Option besteht darin, den Zielfingerabdruck auf einer Glasoberfl\u00e4che zu fotografieren. Genau das ist auch beim oben geschilderten iPhone 5S passiert. Das Bild wird bearbeitet, um die erforderliche Klarheit zu erzielen, und wird dann wie zuvor an einen 3D-Drucker weitergeleitet.<\/p>\n<p>Wie die Forscher feststellten, waren die 3D-Druckexperimente zeitaufwendig und langwierig. Sie mussten den Drucker zun\u00e4chst kalibrieren und durch Ausprobieren die richtige Passform finden. Der eigentliche Druck jedes Modells (insgesamt waren es 50) mit den erforderlichen Einstellungen dauerte eine Stunde. Das Erstellen eines gef\u00e4lschten Fingerabdrucks zum Entsperren eines gestohlenen Smartphones ist also nicht von jetzt auf gleich m\u00f6glich. Und auch den Abdruck eines schlafenden Opfers zu nehmen auch keine superschnelle Methode.<\/p>\n<p>Das Erstellen einer Gussform zur Herstellung des Fingerabdrucks ist bereits die halbe Miete. Doch die Auswahl des Materials f\u00fcr das Modell selbst erwies sich als weitaus schwieriger, da der Fake-Abdruck f\u00fcr drei Arten von Sensoren mit unterschiedlichen Lesemethoden bestimmt war. Zum Beispiel ist es f\u00fcr Ultraschall- und optische Sensoren irrelevant, ob ein Material Strom leiten kann oder nicht, w\u00e4hrend dies f\u00fcr den kapazitiven Sensor-Typ sehr wohl eine Rolle spielt.<\/p>\n<p>\u00dcbrigens ist das beste Material f\u00fcr Fake-Drucke billiger Stoffkleber.<\/p>\n<h2>Diese Ger\u00e4te konnten mit Fake-Abdr\u00fccken geknackt werden<\/h2>\n<p>Die Forscher testeten ihre F\u00e4lschungen an einer Reihe von Smartphones, Tablets und Laptops verschiedener Hersteller sowie an einem Smart Lock und zwei sensorgesch\u00fctzten USB-Laufwerken: dem Verbatim Fingerprint Secure und dem Lexar Jumpdrive Fingerprint F35.<\/p>\n<p>Die Ergebnisse waren eher entmutigend: Die Mehrheit der Smartphones und Tablets konnte in 80 bis 90% der F\u00e4lle ausgetrickst werden, in einigen F\u00e4llen lag die Erfolgsquote sogar bei 100%. Obwohl die 3D-Modelle am weniger effektivsten waren, haben alle drei oben beschriebenen Methoden tats\u00e4chlich gut funktioniert.<\/p>\n<p>Es gab allerdings auch Ausnahmen. Zum Beispiel war das Forschungsteam nicht in der Lage, das Samsung A70-Smartphone zu knacken \u2013 hier ist allerdings erw\u00e4hnenswert, dass das A70 zu den Modellen geh\u00f6rt, die auch ihren tats\u00e4chlichen Besitzer am wahrscheinlichsten nicht erkennen.<\/p>\n<p>Windows 10-Ger\u00e4te erwiesen sich unabh\u00e4ngig vom Hersteller als undurchdringlich. Die Forscher f\u00fchren dieses bemerkenswerte Ergebnis auf die Tatsache zur\u00fcck, dass das Betriebssystem selbst den Fingerabdruckabgleich durchf\u00fchrt, und es somit nicht wirklich vom Ger\u00e4tehersteller abh\u00e4ngt.<\/p>\n<p>Auch sich die gesch\u00fctzten Flash-Laufwerke haben sich ihres Namens w\u00fcrdig erwiesen, obwohl unsere Kollegen warnen, dass auch sie f\u00fcr einen ausgefeilten Angriff anf\u00e4llig sein k\u00f6nnten.<br>\nUnd zu guter Letzt: Ultraschall-Scanner konnten am einfachsten get\u00e4uscht werden. Trotz ihrer F\u00e4higkeit, ein 3D-Bild wahrzunehmen, erkennen sie gef\u00e4lschte Abdr\u00fccke als echt, wenn ein echter Finger die F\u00e4lschung auf den Sensor dr\u00fcckt.<\/p>\n<h2>Schutz f\u00fcr normale Benutzer<\/h2>\n<p>Den Forschern zufolge l\u00e4sst die Sicherheit der auf Fingerabdr\u00fccken basierenden Autorisierung zu w\u00fcnschen \u00fcbrig, und die Situation hat sich im Vergleich zu den Vorjahren teilweise sogar verschlechtert.<\/p>\n<p>Dennoch: eine Finger-Attrappe zu erstellen ist, zumindest zeitlich gesehen, ein ziemlich kostspieliger Prozess, was bedeutet, dass der Ottonormalverbraucher nichts zu f\u00fcrchten hat. Wenn Sie sich jedoch im Fadenkreuz einer gut finanzierten kriminellen Gruppe oder eines Geheimdienstes stehen, sieht das Ganze gleich ganz anders aus. In diesem Fall sollten Sie all Ihre Ger\u00e4te mit einem guten, altmodischen Passwort sch\u00fctzen. Denn letztendlich ist es deutlich schwieriger, ein <a href=\"https:\/\/www.kaspersky.de\/blog\/strong-password-day\/18498\/\" target=\"_blank\" rel=\"noopener\">starkes Kennwort<\/a> zu knacken. Dar\u00fcber hinaus k\u00f6nnen Sie dieses jederzeit \u00e4ndern, wenn Sie den Verdacht haben, dass es in die falschen H\u00e4nde geraten ist.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Forscher haben einen \u2013 wenn auch aufwendigen \u2013 Weg gefunden, Fingerabdr\u00fccke zu f\u00e4lschen, um Ger\u00e4te auszutricksen.<\/p>\n","protected":false},"author":2581,"featured_media":23732,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2287],"tags":[909,1716,3552,1332,3554,1344,3553,129],"class_list":{"0":"post-23729","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-biometrie","9":"tag-fingerabdrucke","10":"tag-laptops","11":"tag-sas","12":"tag-sas-2020","13":"tag-security-analyst-summit","14":"tag-smart-locks","15":"tag-smartphones"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas2020-fingerprint-cloning\/23729\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas2020-fingerprint-cloning\/20638\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/16466\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/8128\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/21522\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas2020-fingerprint-cloning\/19775\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/18446\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas2020-fingerprint-cloning\/22420\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas2020-fingerprint-cloning\/21364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas2020-fingerprint-cloning\/28101\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sas2020-fingerprint-cloning\/8113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/34929\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas2020-fingerprint-cloning\/14668\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas2020-fingerprint-cloning\/14974\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sas2020-fingerprint-cloning\/13338\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sas2020-fingerprint-cloning\/11372\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas2020-fingerprint-cloning\/28161\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/sas2020-fingerprint-cloning\/25306\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas2020-fingerprint-cloning\/22053\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas2020-fingerprint-cloning\/27359\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas2020-fingerprint-cloning\/27197\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=23729"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23729\/revisions"}],"predecessor-version":[{"id":23901,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23729\/revisions\/23901"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/23732"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=23729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=23729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=23729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}