{"id":30242,"date":"2023-06-16T13:54:21","date_gmt":"2023-06-16T11:54:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30242"},"modified":"2023-06-16T14:38:47","modified_gmt":"2023-06-16T12:38:47","slug":"fingerprint-brute-force-android","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fingerprint-brute-force-android\/30242\/","title":{"rendered":"BrutePrint: Umgehen des Smartphone-Fingerabdruckschutzes"},"content":{"rendered":"

Die Fingerabdruckerkennung gilt als recht sichere Authentifizierungsmethode. Hin und wieder gibt es Ver\u00f6ffentlichungen zu verschiedenen M\u00f6glichkeiten, den Fingerabdrucksensor auszutricksen<\/a>, aber alle vorgeschlagenen Methoden laufen auf die eine oder andere Weise auf die physische Nachahmung des Fingers des Telefonbesitzers hinaus \u2013 sei es mit einem Silikonpad oder einem Ausdruck mit leitf\u00e4higer Tinte<\/a>. Dabei geht es darum, ein qualitativ hochwertiges Bild eines Fingers zu beschaffen \u2013 und zwar nicht irgendeines Fingers, sondern des im System registrierten Fingers.<\/p>\n

Kurz gesagt, alle diese Methoden sind mit viel Aufwand verbunden. Aber geht es irgendwie eleganter, ohne die rein digitale Welt mit all ihren Vorteilen zu verlassen? Es stellt sich heraus, dass es so ist: Die chinesischen Forscher Yu Chen und Yiling He haben k\u00fcrzlich eine Studie dar\u00fcber ver\u00f6ffentlicht, wie man nahezu jedes mit Fingerabdruck gesch\u00fctzte Android-Smartphone durch Brute-Force knacken kann. Sie nannten den Angriff BrutePrint<\/a>.<\/p>\n

Wie einzigartig sind Fingerabdr\u00fccke?<\/h2>\n

Bevor wir uns mit der Arbeit unserer chinesischen Kameraden befassen, kurz ein paar Hintergrundtheorien \u2026 Zun\u00e4chst einmal, und das wissen Sie vielleicht, n\u00e4mlich Fingerabdr\u00fccke sind wirklich einzigartig und ver\u00e4ndern sich nie mit dem Alter.<\/p>\n

Bereits im Jahr 1892 ver\u00f6ffentlichte der englische Wissenschaftler Sir Francis Galton ein Werk mit dem lakonischen Titel \u201eFinger Prints\u201c<\/a>. Darin fasste er die damals aktuellen wissenschaftlichen Daten zu Fingerabdr\u00fccken zusammen und Galtons Arbeit legte den theoretischen Grundstein f\u00fcr die weitere praktische Nutzung von Fingerabdr\u00fccken in der Forensik.<\/p>\n

Unter anderem berechnete Sir Francis Galton, dass die Wahrscheinlichkeit einer Fingerabdruck-\u00dcbereinstimmung \u201eweniger als 236<\/sup> oder eins zu etwa vierundsechzig Milliarden\u201c betrug. An diesem Wert halten Forensiker bis heute fest.<\/p>\n

\u00dcbrigens, wenn Sie sich f\u00fcr Hardcore-Anatomie oder die biologischen Faktoren hinter der Einzigartigkeit von Fingerabdr\u00fccken interessieren, finden Sie hier eine neue Forschungsarbeit<\/a> zu diesem Thema.<\/p>\n

Wie zuverl\u00e4ssig sind Fingerabdrucksensoren?<\/h2>\n

Die Arbeit von Sir Francis und alles, was daraus hervorgegangen ist, bezieht sich jedoch auf die (warme) analoge Welt und umfasst Dinge wie das Nehmen von Fingerabdr\u00fccken, deren Vergleich mit denen, die beispielsweise an einem Tatort hinterlassen wurden, und so ist es. In der (kalten) digitalen Realit\u00e4t sieht es jedoch etwas anders aus. Die Qualit\u00e4t der Darstellung digitaler Fingerabdr\u00fccke h\u00e4ngt von mehreren Faktoren ab: der Art des Sensors, seiner Gr\u00f6\u00dfe und Aufl\u00f6sung und \u2013 nicht zuletzt \u2013 \u201eBild\u201c-Nachbearbeitungs- und Abgleichs-Algorithmen.<\/p>\n

\"Vergleich<\/a>

Fingerabdr\u00fccke, wie sie vor 150 Jahren von Sir Francis Galton gesehen wurden (links) und vom optischen Sensor Ihres hochmodernen Smartphones (rechts). Quelle<\/a> und Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Und nat\u00fcrlich muss der Entwickler das Ger\u00e4t spottbillig machen (sonst wird es niemand kaufen), eine Authentifizierung in Sekundenbruchteilen erreichen (oder sich von Beschwerden \u00fcber die langsame Geschwindigkeit \u00fcberw\u00e4ltigen lassen) und um jeden Preis falsch-negative Ergebnisse vermeiden (oder der Benutzer wird das Ganze insgesamt verwerfen). Das Ergebnis sind nicht sehr genaue Authentifizierungssysteme.<\/p>\n

Wenn man sich also auf Sensoren bezieht, die in Smartphones verwendet werden, werden f\u00fcr die Wahrscheinlichkeit, dass Fingerabdruckfragmente \u00fcbereinstimmen, deutlich weniger optimistische Zahlen genannt als die ber\u00fchmten 1 zu 64 Milliarden. Beispielsweise sch\u00e4tzt Apple die Wahrscheinlichkeit f\u00fcr Touch ID<\/a> auf 1 zu 50.000. Es ist also davon auszugehen, dass die Wahrscheinlichkeit bei preisg\u00fcnstigen Sensormodellen noch um ein oder zwei Gr\u00f6\u00dfenordnungen schrumpft.<\/p>\n

Das bringt uns von Milliarden auf Tausende. Das ist bereits in Reichweite von Brute-Force-Angriff<\/a>. Der potenzielle Hacker ist also nur noch ein Hindernis von der Beute entfernt: die Begrenzung der Anzahl der Fingerabdruck-Erkennungsversuche. Normalerweise sind nur f\u00fcnf davon zul\u00e4ssig, gefolgt von einer verl\u00e4ngerten Sperrfrist f\u00fcr die Authentifizierung per Fingerabdruck.<\/p>\n

Kann dieses Hindernis \u00fcberwunden werden? Yu Chen und Yiling He geben in ihrer Studie eine bejahende Antwort darauf.<\/p>\n

BrutePrint: Vorbereitung zum Brute-Force-Angriff auf mit Fingerabdruck gesch\u00fctzte Android-Smartphones<\/h2>\n

Die Methode des Forschers basiert auf einem Fehler in der generischen Implementierung des Fingerabdrucksensors von Android-Smartphones: Keines der getesteten Modelle verschl\u00fcsselte den Kommunikationskanal zwischen Sensor und System. Dies er\u00f6ffnet die M\u00f6glichkeit f\u00fcr einen MITM-Angriff<\/a> auf das Authentifizierungssystem: Mit einem Ger\u00e4t, das \u00fcber den SPI-Port des Motherboards mit dem Smartphone verbunden ist, kann man sowohl eingehende Nachrichten vom Fingerabdrucksensor abfangen als auch eigene Nachrichten senden, indem man den Fingerabdrucksensor emuliert.<\/p>\n

Die Forscher bauten ein solches Ger\u00e4t (Pseudosensor) und erg\u00e4nzten es um ein Gadget zum automatischen Klicken auf den Sensorbildschirm des Smartphones. Daher wurde die Hardwarekomponente so eingerichtet, dass sie im automatischen Modus mehrere Fingerabdruckbilder an Smartphones \u00fcbermittelt.<\/p>\n

\"Ger\u00e4t,<\/a>

Ger\u00e4t zum Brute-Force-Angriff des Fingerabdruck-Authentifizierungssystems. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Von dort aus bereiteten sie Fingerabdruckproben f\u00fcr den Brute-Force-Angriff vor. Die Forscher geben die Quelle ihrer Fingerabdruckdatenbank nicht bekannt und beschr\u00e4nken sich auf allgemeine Spekulationen dar\u00fcber, wie die Angreifer an sie gelangen k\u00f6nnten (Forschungssammlungen, durchgesickerte Daten, eigene Datenbank).<\/p>\n

Im n\u00e4chsten Schritt wurde die Fingerabdruckdatenbank an eine KI \u00fcbermittelt, um so etwas wie ein Fingerabdruckw\u00f6rterbuch zu erstellen und so die Brute-Force-Angriff-Leistung zu maximieren. Die Fingerabdruckbilder wurden von der KI an die Bilder angepasst, die von den Sensoren, die in den an der Studie teilnehmenden Smartphones installiert worden war, erzeugt wurden.<\/p>\n

\"Beispiele<\/a>

Die von verschiedenen Arten von Fingerabdrucksensoren zur\u00fcckgegebenen Bilder unterscheiden sich erheblich voneinander. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Die beiden Schwachstellen im Grunde von BrutePrint: Cancel-After-Match-Fail und Match-After-Lock<\/h2>\n

Der BrutePrint-Angriff nutzt zwei Schwachstellen aus. Die Forscher entdeckten sie in der Grundlogik des Fingerabdruck-Authentifizierungs-Frameworks, das scheinbar ausnahmslos allen Android-Smartphones beiliegt. Die Schwachstellen wurden \u201eCancel-After-Match-Fail\u201c und \u201eMatch-After-Lock\u201c genannt.<\/p>\n

Die Cancel-After-Match-Fail-Schwachstelle<\/h3>\n

Cancel-After-Match-Fail (CAMF)<\/strong> nutzt zwei wichtige Funktionen des Fingerabdruck-Authentifizierungsmechanismus. Die erste ist die Tatsache, dass es auf Multisampling setzt, was bedeutet, dass bei jedem Authentifizierungsversuch nicht nur ein, sondern eine Reihe von zwei bis vier Fingerabdruckbildern (je nach Smartphone-Modell) verwendet werden. Die Zweite ist die Tatsache, dass ein Authentifizierungsversuch nicht nur fehlschlagen<\/em>, sondern auch zu einem Fehler<\/em> f\u00fchren kann \u2013 und in diesem Fall erfolgt eine R\u00fcckkehr zum Anfang.<\/p>\n

Dies erm\u00f6glicht das Senden einer Reihe von Bildern, die in einem Frame enden, der vorab bearbeitet wurde, um einen Fehler auszul\u00f6sen. Wenn also eines der Bilder der Serie eine \u00dcbereinstimmung ausl\u00f6st, findet eine erfolgreiche Authentifizierung statt. Wenn nicht, endet der Zyklus mit einem Fehler, woraufhin eine neue Bildserie \u00fcbermittelt werden kann, ohne den kostbaren Versuch zu verschwenden.<\/p>\n

\"Schwachstellendiagramm<\/a>

So funktioniert Cancel-After-Match-Fail: Fehler bringt Sie zum Ausgangspunkt zur\u00fcck, ohne einen Versuch zu verschwenden. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Die Match-After-Lock-Schwachstelle<\/h3>\n

Die zweite Schwachstelle ist Match-After-Lock (MAL)<\/strong>. Die Authentifizierungslogik per Fingerabdruck sieht nach einem fehlgeschlagenen Versuch eine Sperrfrist vor, doch viele Smartphone-Anbieter implementieren diese Funktion nicht korrekt in ihren Android-Versionen. Auch wenn eine erfolgreiche Fingerabdruck-Authentifizierung im Sperrmodus nicht m\u00f6glich ist, kann man dennoch immer mehr neue Bilder einreichen, auf die das System immer noch mit einer ehrlichen \u201ewahr\u201c oder \u201efalsch\u201c-Antwort antwortet. Das hei\u00dft, sobald Sie das richtige Bild erkannt haben, k\u00f6nnen Sie es verwenden, sobald die Systemsperre aufgehoben ist, und so eine erfolgreiche Authentifizierung abschlie\u00dfen.<\/p>\n

Angriffe, die Cancel-After-Match-Fail und Match-After-Lock ausnutzen<\/h2>\n

Der Angriff, der die erste Schwachstelle ausnutzte, war bei allen getesteten Smartphones mit echtem Android an Bord erfolgreich, funktionierte jedoch aus irgendeinem Grund nicht mit HarmonyOS.<\/a> Match-After-Lock wurde auf vivo- und Xiaomi-Smartphones sowie auf beiden Huawei-Smartphones mit HarmonyOS ausgenutzt.<\/p>\n

\"Tabelle<\/a>

Alle getesteten Smartphones erwiesen sich als anf\u00e4llig f\u00fcr mindestens einen Angriff. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Alle an der Studie teilnehmenden Android- und HarmonyOS-Smartphones erwiesen sich als anf\u00e4llig f\u00fcr mindestens einen der beschriebenen Angriffe. Dies bedeutet, dass alle eine unbegrenzte Anzahl b\u00f6swilliger Authentifizierungsversuche per Fingerabdruck zulie\u00dfen.<\/p>\n

Der Studie zufolge dauerte das Hacken eines Android-Smartphone-Authentifizierungssystems mit nur einem registrierten Fingerabdruck zwischen 2,9 und 13,9 Stunden. Bei Smartphones mit der maximal m\u00f6glichen Anzahl registrierter Fingerabdr\u00fccke f\u00fcr ein bestimmtes Modell (vier bei Samsung, f\u00fcnf bei allen anderen) verk\u00fcrzte sich die Zeit jedoch erheblich: Das Hacken dauerte zwischen 0,66 und 2,78 Stunden.<\/p>\n

\"Smartphone-Hack-Zeit<\/a>

Wahrscheinlichkeit eines erfolgreichen BrutePrint-Angriffs in Abh\u00e4ngigkeit von der aufgewendeten Zeit: ein registrierter Fingerabdruck (durchgezogene Linie) und maximale Anzahl registrierter Fingerabdr\u00fccke (gestrichelte Linie) Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Was ist mit iPhones?<\/h2>\n

Das in iPhones verwendete Touch ID-System erwies sich als resistenter gegen\u00fcber BrutePrint. Der Hauptvorteil des iPhones liegt der Studie zufolge darin, dass die Kommunikation zwischen dem Fingerabdrucksensor und dem Rest des Systems verschl\u00fcsselt ist. Es gibt also keine M\u00f6glichkeit, auf einem mit Touch ID ausgestatteten Ger\u00e4t einen vorbereiteten Fingerabdruck abzufangen oder dem System zuzuf\u00fchren.<\/p>\n

Die Studie weist darauf hin, dass iPhones teilweise anf\u00e4llig f\u00fcr Manipulationen sein k\u00f6nnen, mit denen die Anzahl m\u00f6glicher Fingerabdruckerkennungsversuche maximiert werden soll. Allerdings ist es nicht so schlimm, wie es sich anh\u00f6rt: W\u00e4hrend bei Android-Smartphones die Party ewig andauern kann, l\u00e4sst sich die Anzahl der Versuche bei iPhones nur von 5 auf 15 erh\u00f6hen.<\/p>\n

Die iOS-Nutzer k\u00f6nnen also ruhig schlafen: Touch ID ist deutlich zuverl\u00e4ssiger als die Fingerabdruck-Authentifizierung, die sowohl bei Android als auch bei HarmonyOS zum Einsatz kommt. Hinzu kommt, dass heutzutage ohnehin die meisten iPhone-Modelle Face ID verwenden.<\/p>\n

Wie gef\u00e4hrlich ist das alles?<\/h2>\n

Auch Besitzer von Android-Smartphones sollten sich vor BrutePrint keine allzu gro\u00dfen Sorgen machen \u2013 in der Praxis stellt der Angriff kaum eine gro\u00dfe Bedrohung dar. Daf\u00fcr gibt es verschiedene Gr\u00fcnde:<\/p>\n