[NewsBot]

Hier geht es zur originalen News: Hacker trickst Samsungs Irisscanner aus im Blog

Dem CCC-Mitglied und Biometrieforscher starbug ist es durch einen simplen Trick gelungen den vor kurzem mit dem Samsung Galaxy S8 und S8+ auf den Markt gebrachten Irisscanner zu überwinden und das Telefon zu entsperren.



Dazu genügt es nicht einfach ein Foto vor die Kamera des Smartphone zu halten, denn die Software erkennt das es sich um ein flaches Abbild des Auges handelt. Der Forscher klebte daraufhin eine Kontaktlinse auf das Foto des Auges welches durch die dadurch entstehenden Verzerrungen der Software ein 3D-Bild vorspielt.

Fatal wird das Ganze wenn der Besitzer des Smartphones den Bezahldienst Samsung Pay in Verbindung mit dem Irisscan nutzt, denn dann könnten auch Unbefugte Einkäufe über das Telefon tätigen.

starbug ist kein Unbekannter, er hatte bereits kurz nach der Einführung von Apples TouchID das Biometriesystem durch abfotografieren eines Fingerabdrucks überwinden können.

Quelle: Chaos Computer Club


Bildquelle: Samsung

[Denon]

Darauf habe ich nur gewartet
Wie Apples TouchID ist eben auch der Iris Scanner irgendwie hackbar. Ich denke es wird auch noch geraume Zeit dauern bis dies mithilfe neuer Technik nicht mehr funktionieren wird.
Aber sind wir mal ehrlich - ich denke kein "Normalsterblicher" hat dermassen sensible Daten auf seinem Gerät das sich ein 08/15 Dieb die Arbeit macht um TouchID oder den Iris Scan mit diversen Mitteln auszutricksen. ApplePay und auch Samsung Pay sind in D immer noch nicht verfügbar - und wie ich die Deutschen Banken kenne wird dies auch noch eine Weile so sein. Und selbst wenn beide Dienste dann mal kommen werden wohl nur wenige Banken mitmachen. Denen geht es ja durch die Niedrigzinspolitik der EZB sowieso soooo schlecht
Ich bleibe bei diesen Hacks" persönlich also wirklich sehr entspannt und nehme diverse Meldungen einfach zur Kenntnis.

[René]

Wenn ich ein S8 mit dem Foto der Iris geknackt habe, würde ich erstmal sein Paypal Konto leerräumen und im Anschluss ein paar teure Sachen bei ebay und Amazon kaufen.

[Darius]

@René Dein ernst? ?

[René]

@Darius Wollte damit nur sagen, dass es nicht primär um sensible Daten geht, wie es @Denon angesprochen hat sondern darum das man großen Schaden anrichten kann, wenn man Zugriff auf ein Smartphone hat.

[Cortes2410]

@Denon dito ?

[cobra1OnE]

Der Dieb braucht aber auch erstmal ein Super Foto von meinen Augen um das zu machen. Alltagstauglich ist dieser Hack auch nicht.

[Denon]

@René: ?
Sorry, ich raffe Deinen Post nicht. Was haben den Amazon, ebay und PayPal mit dem Iris Scanner zu tun ?! Ich denke sehr viele haben die Zugänge dafür nicht mit dem Iris Scanner oder der Touch ID verknüpft. So wie ich.....
Natürlich kann man Schaden damit anrichten. Aber wie ich schon vorhin sagte - ich denke der "Normaldieb" hat es primär auf das Gerät selbst und weniger auf die Daten abgesehen. Ich bin keine so wichtige Person das ich da Angst hätte - und Millionen habe ich auch nicht gebunkert das sich das lohnen würde.
Viel Drama um relativ wenig meiner Meinung nach. Den Dieb will ich sehen der erstmal ein so gutes Foto von meinem Auge macht um dann noch damit zu hantieren um das Gerät zu entsperren - und das ganze für meine Whats App Chatverlauf
Ich hatte teilweise immer TouchID oder auch den Fingerabdrucksensor ausgeschaltet weil sich das schützen des Gerätes nicht "lohnt". Und wie bei Apple ist auch ein Samsung aus der Ferne "löschbar".

[Sonni]

Passiert mir ständig, das jemand ein Foto von meinen Augen macht, dann mein S8 klaut und es mit der Kontaktlinse entsperrt.
Es ist aber auch wirklich nichts mehr sicher! 

Gott sein Dank habe ich nicht mehr diese altmodische Haustürschlüssel, die wenn man sie klaut, dazu benutzt werden können ins Haus einzudringen.

[snowman78]

Ich finde die Fingerabdruck-Sensoren schon praktisch. Aber nur der Bequemlichkeit halber [WINKING FACE]

Gesendet von meinem SM-G935F mit Tapatalk

[mario4848]

Warum das Thema "eigene Sicherheit im Rahmen IT" immer so abgwertet wird, werde ich wohl nie verstehen.

[*Leopard*]

Dieser Trick stellt keine Gefahr dar. Wir wissen jetzt, dass man den Irisscanner theoretisch überlisten kann. Praktisch wird das aber keine Gefahr darstellen. Jedenfalls nicht für den Ottonormaluser. Da muss es schon ein Profi auf die Daten einer wichtigen Person abgesehen haben. Für alle anderen lohnt sich der Aufwand nicht. Zum anderen wissen nur die Allerwenigsten von diesem Trick. Nicht jeder liest Technikforen. Und ausserdem muss man erst mal ein Foto hinbekommen wo die Augen so gut abgebildet sind, dass dieser Trick überhaupt funktionieren kann.

[*Steffen*]

@NiOS ? mehr ist dazu auch wirklich nicht zu sagen...

[eXiNFeRiS]

@Sonni

Dein Ernst? Ein Foto von Augen bzw. ganzen Köpfen inklusive Augen habe ich schnell...das Netz hilft da heutzutage extrem. Meine Haustürschlüssel habe ich jedoch nicht öffentlich aushängen damit sich jeder der will einen bei Mr. Minit nachmachen kann.

[access]

Ich gewinne den Eindruck das die kriminelle Energie die Verbrecher heute an den Tag legen von einigen hier völlig unterschätzt wird.
Täter eins läuft mit einer Kamera herum und fotografiert Menschen mit Smartphone.
Täter zwei stiehlt den Leuten das Smartphone.
Die Bilder landen per Internet bei Täter drei der von Täter zwei die Telefone bekommt und entsperrt diese. Nun räumt man ggf. die hinterlegten Konten leer, löscht das Telefon und verkauft es per Kleinanzeigen...

[*Leopard*]

Das ist ungefähr so wahrscheinlich wie ein 6er im Lotto.

[access]

Jeden Tag sehe ich Leute herumlaufen deren Smartphone zu einem Drittel aus der Gesäßtasche herausragen. Ein gefundenes Fressen für mittelmäßige Taschendiebe. Aber das ist so unwahrscheinlich wie nen sechser im Lotto, schon klar. ??

[Sonni]

Die Wahrscheinlichkeit das die Irisentsperrung so jemals von Kriminellen praktiziert wird halte ich für noch geringer als den Schaden den man anrichten könnte. Heutige Smartphone, egal ob iOS oder Android, lassen sich ohne Accountpasswort nicht mehr zurücksetzen und benutzen. Also bleibt die Hardware schon mal ein Briefbeschwerer. Zwar habe ich meine Banking Zugangsnummer im Gerät hinterlegt, muss aber trotzdem noch zufällige Teile eines PINS manuell eingeben. Außerdem kann ich mit dem Gerät keine Überweisungen tätigen, wenn ich mit selbigem bei der Bank eingeloggt bin.

Da halte ich die Sache mit dem Schlüssel deutlich praktikabler.

[Denon]

@access: Naja, wer es herausfordert darf sich logischerweise auch nicht wundern. Ich gehe von meinem eigenen Nutzungsverhalten und generellem Umgang mit dem Smartphone aus - aus diesem Grund tangiert mich das weniger das da alles ausgetrickst werden kann.

---

@Sonni: Ist bei meiner Bank auch so. Wenn ich mit dem Gerät eingeloggt bin gehen keine Überweisungen.

[eXiNFeRiS]

@access
Dito, vornehmlich Frauen mit 5,5-6" Geräten in XS Jeans mit ebenso winzigen Gesäßtaschen. Heute sind bestimmt 10 an mir vorbeigelaufen. Denen könnt sogar ich als Grobmotoriker bei unserer Stadt-Megaparty im Getümmel die Dinger hinten rausziehen ohne das sie es merken.

---

@Sonni

" „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. Samsung plant die Integration der Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen."