Update: Samsung Galaxy S8 – Chaos Computer Club überlistet den Iris Scanner

Im neuen Galaxy S8 hat Samsung die Technik des Iris-Scanners als Ersatz für den Fingerabdruck Sensor eingebaut. Diese Technik war bereits im Note 7 verbaut worden und wurde auch in das aktuellen Galaxy S8 und S8+ übernommen.

Allerdings scheint die Technik noch nicht ganz so sicher zu sein, wie Samsung dies gerne hätte. Wie der Chaos Computer Club heute meldet, ist es gelungen, den Iris Scanner der Geräte mit sehr einfachen Mitteln zu überlisten. Es reicht dabei wohl schon ein relativ gutes Bild des Gesichtes, um den Scanner dazu zu bewegen, den Zugang zum Smartphone frei zu geben und damit auch den Zugriff auf alle gespeicherten Daten und Programme zu erlauben.

„Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. „Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten,“ sagte Dirk Engling weiter.

Besonders kritisch: es kann bereits reichen, passende Bilder von sich im Internet zu veröffentlichen. Man denke in diesem Zusammenhang an Facebook oder Twitter. Dort werden Selfies in bester Auflösung sehr häufig gepostet und das allen kann schon ausreichen, um einen Iris Scanner zu überlisten. Aber auch ohne Fotos gibt es keinen wirklichen Schutz. Der CCC schreibt dazu:

Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In diesem normalerweise herausgefilterten Frequenzband sind auch die in sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann.

Prinzipiell soll die Technik des Iris Scanner früher oder später den Fingerabdruck Sensor wohl komplett ablösen. Man bräuchte damit keinen zusätzlichen Scanner mehr, sondern könnte nur noch auf die (ohnehin in den Geräten verbaute) Kamera setzen. Das ist aber natürlich nur eine Option, wenn der Iris-Scanner auch wirklich sicher ist und Fotos erkennt bzw. sicher stellen kann, dass nur der richtige Nutzer Zugriff auf die Geräte bekommt. So lange sich die Technik im Galaxy S8 so einfach täuschen lässt, kann von einem Sicherheitsfeature wohl kaum die Rede sein.

UPDATE: Samsung hat mittlerweile reagiert und sieht in dieser Lücke keine wirkliche Gefahr, da sie praktisch kaum nachzustellen ist und man hochauflösende Infrarotaufnahmen benötigt. Das gesamte Statement von Samsung kann hier nachgelesen werden.

Das Video zur Technik

Google führt automatischen Malware Scanner „Bouncer“ in Market ein

Google hat auf die vielen Berichte über die im Market enthaltene Malware und Spyware reagiert und hat seit heute einen hauseigenen automatischen Virenscanner in den Android Market implementiert. Nachdem der Scanner in seiner monatelangen Betaphase bereits intern getestet wurde, wird nun die finale Version auf den Google Servern angewendet.

Der Scanner simuliert die Benutzung von Anwendungen auf einer virtuellen Android Maschine und spürt ungewöhnliche Ereignisse sowie suspekte Datenströme auf. Des Weiteren durchsucht Bouncer auch neu erstellte Entwickleraccounts der Android-Programmierer und prüft darin enthaltene Apps auf Spyware und ähnlichem. Wird dabei eine Schadsoftware gefunden, wird diese markiert, später noch einmal manuell geprüft und schließlich aus dem Market entfernt.

Derzeit soll wohl der ganze Market nach Schadsoftware durchsucht werden, da es bereits ein breites Spektrum an schädlichen Apps im Market gibt. Ob Google allerdings den Schädlingsanteil von aktuell etwa 40% auf 0% senken kann, bleibt fraglich, denn immerhin ist es ein automatischer Virenscanner, der natürlich auch Fehler machen kann. Google machte allerdings ausdrücklich klar, dass man keine ausschließlich manuelle Überprüfung von Spyware auf Apps anwenden wolle, wie etwa Apple das tut.

Wir werden sehen, wie sich der Anteil von Malware am Android Market in den nächsten Tagen und Wochen verändert und warten gespannt auf nächste Studien darüber.

[via googlemobile.blogspot & android4you]