IRIS, Auge, Iris Scanner Pixabay CC0

Update: Samsung Galaxy S8 – Chaos Computer Club überlistet den Iris Scanner


Im neuen Galaxy S8* hat Samsung* die Technik des Iris-Scanners als Ersatz für den Fingerabdruck Sensor eingebaut. Diese Technik war bereits im Note 7 verbaut worden und wurde auch in das aktuellen Galaxy S8* und S8+ übernommen.

Allerdings scheint die Technik noch nicht ganz so sicher zu sein, wie Samsung* dies gerne hätte. Wie der Chaos Computer Club heute meldet, ist es gelungen, den Iris Scanner der Geräte mit sehr einfachen Mitteln zu überlisten. Es reicht dabei wohl schon ein relativ gutes Bild des Gesichtes, um den Scanner dazu zu bewegen, den Zugang zum Smartphone* frei zu geben und damit auch den Zugriff auf alle gespeicherten Daten und Programme zu erlauben.

„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN*-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. „Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten,“ sagte Dirk Engling weiter.

Besonders kritisch: es kann bereits reichen, passende Bilder von sich im Internet zu veröffentlichen. Man denke in diesem Zusammenhang an Facebook oder Twitter. Dort werden Selfies in bester Auflösung sehr häufig gepostet und das allen kann schon ausreichen, um einen Iris Scanner zu überlisten. Aber auch ohne Fotos gibt es keinen wirklichen Schutz. Der CCC schreibt dazu:

Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In diesem normalerweise herausgefilterten Frequenzband sind auch die in sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann.

Prinzipiell soll die Technik des Iris Scanner früher oder später den Fingerabdruck Sensor wohl komplett ablösen. Man bräuchte damit keinen zusätzlichen Scanner mehr, sondern könnte nur noch auf die (ohnehin in den Geräten verbaute) Kamera setzen. Das ist aber natürlich nur eine Option, wenn der Iris-Scanner auch wirklich sicher ist und Fotos erkennt bzw. sicher stellen kann, dass nur der richtige Nutzer Zugriff auf die Geräte bekommt. So lange sich die Technik im Galaxy S8* so einfach täuschen lässt, kann von einem Sicherheitsfeature wohl kaum die Rede sein.

UPDATE: Samsung* hat mittlerweile reagiert und sieht in dieser Lücke keine wirkliche Gefahr, da sie praktisch kaum nachzustellen ist und man hochauflösende Infrarotaufnahmen benötigt. Das gesamte Statement von Samsung kann hier nachgelesen werden.

Das Video zur Technik



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.