Apples Fingerabdrucksensor gehackt: Biometrischer Holzleim

Zwei Tage hat es gedauert, um Apples neue Sicherheitstechnologie zu umgehen. Das Biometrie-Team des Chaos Computer Clubs (CCC) zeigt in einem Video, wie sie die biometrische Sicherheitsfunktion des Apple TouchID geknackt haben wollen – mit einem Kunstfingerabdruck. Dazu reiche Material, das jeder zu Hause habe.

Man nehme: Einen Gegenstand mit brauchbarem Abdruck (beispielsweise ein Glas), eine Digitalkamera, einen Laserdrucker zum Erstellen einer Folienvorlage und etwas Holzleim für die Fingerabdruck-Attrappe.

So geht's (laut CCC): Den Fingerabdruck mit einer Auflösung von 2400 dpi fotografieren. Das Foto dann am Computer bereinigen, invertieren und per Laserdrucker auf eine Transparenzfolie drucken. Auf das Druckbild dann hautfarbene Latexmilch oder weißen Holzleim auftragen. Durch die Drucklinien soll ein Fingerabdruckbild in dem aufgetragenen Material entstehen. Nach dem Trocknen sollte dann der gefälschte Finger abgenommen werden können. Dann den gefälschten Fingerabdruck leicht anhauchen. Damit das iPhone entsperren.

Der Sensor, eine dumme Idee

Apple wirbt für die TochID als „eine innovative Art das Smartphone einfach und sicher mit der Berührung des Fingers zu entsperren. (...) Das ist praktisch und extrem sicher. Und mit deinem Fingerabdruck kannst du auch Einkäufe im iTunes Store, im App Store und im iBooks Store autorisieren.“ Der Sensor sei sicherer als bisherige. Der Hacker mit dem Synonym starbug sagt dazu: „Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Granularität unseres Kunstfingers ein wenig erhöhen.“ Starbug bezieht sich auf eine Anleitung für das Kopieren von Fingerabdrücken, die schon 2004 vom CCC veröffentlicht wurde.

Der Hacker-Club protestiert gegen die biometrische Datenverwertung. Der Hack des Fingerabdrucksensors ist ein weiterer Schritt im Protest. Frank Rieger, Sprecher des CCC, sagt dazu: „Fingerabdruck-Biometrie ist und bleibt unsicher, egal was Hersteller und ihre Freunde bei Polizei und Geheimdiensten uns erzählen wollen."

2008 eröffnete der CCC ein Sammelalbum für Fingerabdrücke, um gegen das Sammeln biometrischer Daten zu demonstrieren. Darin veröffentlichten sie den Fingerabdruck von Finanzminister Wolfgang Schäuble.

„Es droht eine Welt, in der jeder im digitalen und realen Raum permanent identifiziert wird. Anonymität und die damit einhergehenden Freiheiten gehören dann der Vergangenheit an“, sagt Rieger der taz. Auf die Frage, was der CCC nun von Apple erwartet, anwortet Rieger: „Wir vermuten, Apple wird das Problem wie üblich herunterspielen. Wünschenswert wäre, dass die Firma auf diesen Irrweg verzichtet und sich getreu ihres alten Werbevideos nicht zum Technologielieferanten für ein modernes 1984 macht.“ Apple Deutschland möchte den Hack nicht kommentieren.

Außer netzpolitischem Ruhm könnte der Hack auch Geld bringen: Auf IsTouchIDhackedYet.com („Wurde TouchID schon gehackt“) haben Twitter-Nutzer bereits Geld für einen erfolgreichen Hacker gesammelt. Der Status ist aktuell auf „womöglich“ für den CCC als Preisträger. Sollte der CCC tatsächlich gewinnen, kann ihm die Crowdfunding-Kampagne einiges an alkoholischen Getränken und bis zu 15.000 Dollar einbringen.