Apples Fingerabdrucksensor gehackt: Biometrischer Holzleim

Apple wirbt mit der besonderen Sicherheit seines Fingerabdrucksensors im iPhone. Der Chaos Computer Club hat den Sensor aber bereits geknackt.

Wer toucht auf meinem Fingersensor? Womöglich ein Kunstfingerabdruck aus Haushaltsmaterialien. Bild: reuters

Zwei Tage hat es gedauert, um Apples neue Sicherheitstechnologie zu umgehen. Das Biometrie-Team des Chaos Computer Clubs (CCC) zeigt in einem Video, wie sie die biometrische Sicherheitsfunktion des Apple TouchID geknackt haben wollen – mit einem Kunstfingerabdruck. Dazu reiche Material, das jeder zu Hause habe.

Man nehme: Einen Gegenstand mit brauchbarem Abdruck (beispielsweise ein Glas), eine Digitalkamera, einen Laserdrucker zum Erstellen einer Folienvorlage und etwas Holzleim für die Fingerabdruck-Attrappe.

So geht's (laut CCC): Den Fingerabdruck mit einer Auflösung von 2400 dpi fotografieren. Das Foto dann am Computer bereinigen, invertieren und per Laserdrucker auf eine Transparenzfolie drucken. Auf das Druckbild dann hautfarbene Latexmilch oder weißen Holzleim auftragen. Durch die Drucklinien soll ein Fingerabdruckbild in dem aufgetragenen Material entstehen. Nach dem Trocknen sollte dann der gefälschte Finger abgenommen werden können. Dann den gefälschten Fingerabdruck leicht anhauchen. Damit das iPhone entsperren.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der Sensor, eine dumme Idee

Apple wirbt für die TochID als „eine innovative Art das Smartphone einfach und sicher mit der Berührung des Fingers zu entsperren. (...) Das ist praktisch und extrem sicher. Und mit deinem Fingerabdruck kannst du auch Einkäufe im iTunes Store, im App Store und im iBooks Store autorisieren.“ Der Sensor sei sicherer als bisherige. Der Hacker mit dem Synonym starbug sagt dazu: „Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Granularität unseres Kunstfingers ein wenig erhöhen.“ Starbug bezieht sich auf eine Anleitung für das Kopieren von Fingerabdrücken, die schon 2004 vom CCC veröffentlicht wurde.

Der Hacker-Club protestiert gegen die biometrische Datenverwertung. Der Hack des Fingerabdrucksensors ist ein weiterer Schritt im Protest. Frank Rieger, Sprecher des CCC, sagt dazu: „Fingerabdruck-Biometrie ist und bleibt unsicher, egal was Hersteller und ihre Freunde bei Polizei und Geheimdiensten uns erzählen wollen."

2008 eröffnete der CCC ein Sammelalbum für Fingerabdrücke, um gegen das Sammeln biometrischer Daten zu demonstrieren. Darin veröffentlichten sie den Fingerabdruck von Finanzminister Wolfgang Schäuble.

„Es droht eine Welt, in der jeder im digitalen und realen Raum permanent identifiziert wird. Anonymität und die damit einhergehenden Freiheiten gehören dann der Vergangenheit an“, sagt Rieger der taz. Auf die Frage, was der CCC nun von Apple erwartet, anwortet Rieger: „Wir vermuten, Apple wird das Problem wie üblich herunterspielen. Wünschenswert wäre, dass die Firma auf diesen Irrweg verzichtet und sich getreu ihres alten Werbevideos nicht zum Technologielieferanten für ein modernes 1984 macht.“ Apple Deutschland möchte den Hack nicht kommentieren.

Außer netzpolitischem Ruhm könnte der Hack auch Geld bringen: Auf IsTouchIDhackedYet.com („Wurde TouchID schon gehackt“) haben Twitter-Nutzer bereits Geld für einen erfolgreichen Hacker gesammelt. Der Status ist aktuell auf „womöglich“ für den CCC als Preisträger. Sollte der CCC tatsächlich gewinnen, kann ihm die Crowdfunding-Kampagne einiges an alkoholischen Getränken und bis zu 15.000 Dollar einbringen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.