X

Android: Login mit Fingerabdruck lässt sich per Brute-Force knacken

Der Zugangsschutz per Fingerabdruck zu Android-Smartphones lässt sich mit einer Brute-Force-Attacke überwinden. Der dagegen eingesetzte Sicherheits-Mechanismus funktioniert nicht so gut, wie es eigentlich vorgesehen ist.
portal gda / Flickr
25.05.2023  11:01 Uhr
In der nachgelagerten Technik hinter dem Fingerprint-Sensor sorgt die Cancel-After-Match-Fail (CAMF)-Funktion dafür, dass die Authentifizierungsaktivitäten eingeschränkt werden. Dadurch lassen sich nur begrenzte Mengen an Versuchen in einem bestimmten Zeitraum durchführen. Es sind dabei immer noch genug, um keine Ungeduld beim User zu erzeugen, eine automatisierte Massen-Abfrage wie sie bei einer Brute-Force-Attacke eingesetzt wird, funktioniert so aber nicht. Chinesische Sicherheitsforscher haben es aber geschafft, diese Sperre zu umgehen. Sie können so nicht nur extrem viele Log-in-Versuche durchführen, sondern die Informationen auch so in das Smartphone einschleusen, dass sie scheinbar wirklich vom Fingerprint-Sensor kommen. Für einen erfolgreichen Einbruch benötigten die Security-Experten mehrere Stunden lang physischen Zugang zu einem Zieltelefon, einen kleinen Platinen-Rechner für 15 Dollar und Zugang zu einer Datenbank mit Fingerabdruckbildern.


iOS nicht geknackt

Letzteres kann man auf verschiedenen Wegen bekommen. So gibt es entsprechende Sammlungen im akademischen Umfeld, wo sie für die Forschung eingesetzt werden. Aber auch gestohlene Datenbanken verschiedener Anbieter biometrischer Systeme sind auf den einschlägigen Schwarzmärkten im Umlauf. Auf dem kürzlich geschlossenen Genesis Market, der sich auf Informationen für Identitätsfälscher spezialisierte, hatten Ermittler eine Datenbank mit rund 80 Millionen Fingerprint-Sätzen gefunden.

Alle von den Forschern getesteten Android-Geräte und ein HarmonyOS-Gerät (Huawei) wiesen mindestens eine Schwachstelle auf, die einen Brute-Force-Einbruch ermöglichte. Aufgrund der stärkeren Verteidigungsmechanismen in iOS-Geräten konnten diese der Attacke widerstehen. Die Forscher stellten fest, dass iPhones zwar auch für CAMF-Schwachstellen anfällig sind, jedoch nicht so weit, dass ein erfolgreicher Einbruch möglich wäre.

Zusammenfassung
  • Zugangsschutz per Fingerabdruck an Android-Smartphones kann überwunden werden.
  • Sicherheits-Mechanismus funktioniert nicht so gut, wie vorgesehen.
  • Chinesische Forscher finden Weg, Sperre zu umgehen.
  • Erfolgreicher Einbruch erfordert mehrere Stunden Zugriff auf Gerät.
  • iPhones mit stärkerer Verteidigung, Einbruch nicht möglich.
Verwandte Themen
Android
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture