| Experten 30. September 2013


30. September 2013

Warum ich Apples TouchID gehackt habe, und trotzdem denke, dass sie super ist.

By Lookout

Seit ein paar Tagen wissen alle Bescheid – Apples TouchID wurde gehackt. Eigentlich hat auch niemand etwas anderes erwartet. Fingerabdrücke sind biometrische Daten, die überall hinterlassen werden, egal wohin Du gehst, egal was du berührst.
Dass man Gegenstände auf Fingerabdrücke untersuchen kann, steht jetzt nicht wirklich zur Debatte – Experten der Spurensicherung machen dies schon seit Jahrzehnten. Die große Frage mit TouchID war eher, ob Apple in der Lage ist, ein Design zu implementieren, das sicher genug ist Attacken zu widerstehen, oder ob sie sich in die Vielzahl der Firmen einreihen, die es zwar versucht haben, doch daran gescheitert sind eine sichere Lösung zu präsentieren.
Heißt das jetzt, dass TouchID fehlerbehaftet ist und vermieden werden sollte? Die Antwort auf diese Frage ist nicht ganz so einfach, wie man vielleicht im ersten Moment denkt. Es stimmt, dass TouchID Fehler hat – es stimmt auch, dass diese Sicherheitslücken ausgenutzt werden können, um ein iPhone zu entsperren. Allerdings sind diese Fehler kein Grund, um die sich der Durchschnittsverbraucher Sorgen machen sollte. Warum? Das Ausnutzen dieser Sicherheitslücke war alles andere als trivial.
Um TouchID zu hacken, benötigt man eine spezifische Kombination von Fähigkeiten, Einblick in wissenschaftliche Studien und darüber hinaus die Geduld eines Beamten der Spurensicherung.
Als Erstes muss ein Fingerabdruck abgenommen werden. Dieser darf nicht verschmiert sein und muss gleichzeitig dem Finger entsprechen, der das Telefon auch entsperrt. Wenn Sie beispielsweise Ihren Daumen zum Entsperren benutzen, so wie von Apple vorgesehen, dann benutzen Sie genau den Finger, mit dem die Chance am geringsten ist, einen sinnvollen Fingerabdruck auf dem iPhone-Display zu hinterlassen. Versuchen Sie es selbst. Wenn Sie ein iPhone in der Hand halten und etwas mit den verschiedenen Positionen herumexperimentieren, in denen Sie das Gerät normalerweise halten würden, werden Sie schnell merken, dass die Daumenoberfläche oft gar nicht in vollen Kontakt mit dem Gerät kommt – und selbst wenn, meistens ist der Daumen in Bewegung. Das heißt dann auch, dass ein Fingerabdruck oft verschmiert sein wird. Um also Ihr iPhone zu hacken, müsste ein Dieb zweierlei schaffen: zum einen Herausfinden, welcher Abdruck überhaupt der richtige ist UND zudem noch einen guten Fingerabdruck abnehmen.
Hier beginnt die Arbeit der Spurensicherung. Um den Fingerabdruck sichtbar zu machen, benötigt man Dämpfe von Cyanoacrylat, der etwa in Sekundenkleber enthalten ist, sowie Fingerabdruckpulver, bevor man den Fingerabdruck dann mit Klebeband langsam (und geduldig) abnehmen kann. Selbst mit einem guten Abdruck ist es ziemlich leicht, das Ergebnis zu verschmieren. Meistens gibt nur eine einzige Chance, ohne das Original zu zerstören.
Und wie geht’s jetzt weiter? Wenn Sie soweit gekommen sind, sind die Chancen gar nicht schlecht, dass Sie jetzt einen leicht verschmierten Fingerabdruck auf einem Stück Papier haben. Kann man damit jetzt ein Telefon entsperren? Mit älteren Fingerabdrucklesern hätte das vielleicht noch funktioniert, doch seit einigen Jahren ist dies nicht mehr möglich, und erst Recht nicht mit diesem Gerät. Um die Sicherung zu umgehen, braucht man heutzutage einen „echten“ falschen Fingerabdruck.
Einen falschen Fingerabdruck herzustellen ist ohne Zweifel der schwierigste Teil des ganzen Unterfangens. Es ist ein langer Prozess, der sich über Stunden hinziehen kann. Außerdem braucht man noch Equipment im Wert von mehreren tausend Euro: eine hochauflösende Kamera und einen Laserdrucker. Erst muss man den Fingerabdruck fotografieren und dabei vor allem darauf achten, dass die Größenverhältnisse beibehalten werden und der Abdruck nicht schief oder verzerrt ist. Um die verschmierten Teile des Abdrucks zu bereinigen, muss der Fingerabdruck dann noch bearbeitet werden. Wenn das geschafft ist, hat man zwei Möglichkeiten:
  • Die Methode des Chaos Computer Clubs. In einem Bildbearbeitungsprogramm die Farben des Fingerabdrucks umkehren und diesen dann mit einem Laserdrucker in maximaler Qualität auf Transparenzfolie ausdrucken. Dann werden Kleber und Glycerol auf die bedruckte Seite des Fingerabdrucks aufgetragen. Wenn alles getrocknet ist, bleibt eine dünne Schicht aus gummiähnlichen, getrockneten Kleber übrig. Das ist jetzt Ihr falscher Fingerabdruck.
  • Ich habe eine Technik benutzt, die aus dem Artikel „The Impact of Artificial ‚Gummy‘ Fingers on Fingerprint Systems“ von Tsutomu Matsumoto aus dem Jahr 2002 stammt. Mit dieser Methode nimmt man das bereinigte Bild und druckt es auf Transparenzfolie, allerdings ohne Farbumkehrung. Dann benötigt man eine lichtempfindliche, kupferne Leiterplatte, bekannt aus Hobbyprojekten. Mit Chemikalien wird das Bild auf die Leiterplatte übertragen. Die Leiterplatte wird dann durch einen Prozess des Ätzens so bereinigt, dass nur noch eine Mulde mit Rillen übrig bleibt. Jetzt nur noch Kleber in die Mulde schmieren, trocknen lassen und voilà, Sie haben einen falschen Fingerabdruck.
Die falschen Fingerabdrücke zu benutzten ist nicht gerade einfach. Ich habe die besten Resultate erhalten, wenn ich ihn auf einen leicht feuchten Finger klebe. Warum? Die Leitfähigkeit zwischen dem Fingerabdruck und dem echten Finger wird so erhöht.
Was haben wir jetzt aus all dem gelernt?
Die Sicherheit des Fingerabdruckscanners zu umgehen, ist immer noch etwas, das auch aus einem John le Carré-Buch stammen könnte. Es ist garantiert nicht etwas, was der durchschnittliche Taschendieb machen könnte – selbst wenn, er müsste viel Glück haben. Man darf auch nicht vergessen, dass man lediglich fünf Versuche hat bevor TouchID dann nach einem PIN-Code zur Entsperrung fragt. Aber, um das noch mal klarzustellen, es ist trotzdem unrealistisch anzunehmen, dass TouchID einem gezielten Angriff widersteht. Ein Angreifer, der wirklich genug Zeit und Ressourcen hat um sein Opfer zu beobachten, wird in TouchID wahrscheinlich keine größere Herausforderung sehen. Allerdings ist dies eine Gefahr, der nicht gerade viele von uns ausgesetzt sind.
TouchID ist kein starkes Sicherheitsmerkmal. Es ist ein praktisches Sicherheitsmerkmal. Nur die Hälfte aller Nutzer setzt eine Display-Sperre ein. Warum? Weil sie eine PIN als unpraktisch betrachten. TouchID ist stark genug, um Nutzer vor Gelegenheits- oder opportunistischen Dieben oder Angreifern zu schützen (allerdings gibt es dabei einen Einwand, mehr dazu später) und daher eindeutig besser als gar keine Sperre.
Wir haben heute mehr sensible Daten als je zuvor auf unseren Handys. Viele von uns sollten ihr Smartphone mit genauso viel Vorsicht behandeln wie ihre Kreditkarte, weil man damit dieselben finanziellen Transaktionen vornehmen kann. Fingerabdruck-Sensoren schützen Sie vor den drei größten Gefahren, vor denen Smartphone-Nutzer heute stehen:
  • Schutz Ihrer Daten vor einem Straßenräuber
  • Schutz beim Verlust oder Verlegen Ihres Geräts
  • Auch ein Schutz vor Phishing-Attacken ist möglich – wenn Apple es erlaubt.
Fingerabdruck-Sicherheit hat jedoch auch eine dunkle Seite. Wir müssen sorgfältig darauf achten, wie die Daten verwaltet werden und welchen Einfluss sie auf unseren Datenschutz haben. Wie der US-Senator Al Franken in seinem Brief an Apple darauf hingewiesen hat, hat jeder von uns nur zehn Fingerandrücke. Ein gestohlener oder öffentlicher Fingerabdruck könnte zu lebenslangen Problemen führen. Denken Sie nur mal an die Möglichkeit, dass Ihr Fingerabdruck an jedem Verbrechens-Schauplatz in Deutschland auftaucht.
Die wichtigsten Fragen sind daher:
  1. Welche Daten ermittelt Apple von einem Finger, sobald er das erste Mal auf dem Sensor liegt?
  2. Wo und wie sind diese Daten gespeichert und wie wird auf sie zugegriffen?
  3. Können diese Daten genutzt werden, um den Fingerabdruck eines Nutzers mathematisch oder visuell wiederherzustellen?
Fingerabdrücke werden auch im Auge des Gesetzes ganz anderes als Passwörter oder PINs betrachtet. So kann die Polizei Sie dazu zwingen, Ihre Fingerabdrück abzugeben – etwas, was sie trotz einiger juristischer Diskussionen um diese Position bei Passwörtern momentan noch nicht können.
Fingerabdruck-Biometrie hat Mängel, die in der Technologie selbst begründet liegen, und die auch in zukünftigen Produkten wiederholt offenbart werden dürften. Das sollte uns aber nicht dazu bringen, Fingerabdruck-Biometrie komplett zu verwerfen. Wir sollten viel mehr zukünftige Produkte unter Berücksichtigung dieser Schwächen konstruieren. Wenn wir die Stärken ausnutzen und die Schwächen mitdenken, kann Fingerabdruck-Biometrie ein großer Mehrwehrt sowohl für die Sicherheit als auch die Nutzererfahrung sein.
Worauf ich – und mit mir viele meiner Kollegen – wirklich warte ist, dass TouchID Zwei-Faktor-Authentisierung ermöglicht. Indem man zwei Tokens mit niedriger bis mittlerer Sicherheit kombiniert, so wie Fingerabdrücke und vierstellige PINs, erschafft man etwas viel stärkeres. Jeder dieser Token hat seine Stärken und jeder hat auch Mängel. Mit Zwei-Faktor-Authentisierung profitiert man von beider Stärken und kann beider Mängel mildern.
Man denke nur an eine Banking-App, die man bequem mit dem Fingerabdruck startet, denn das ist schnell und stellt sicher, dass die richtige Person auf die App zugreift. Sobald man aber etwas Sensibles tut, wie den Kontostand abzurufen oder eine Überweisung vornimmt, ist eine Zwei-Faktor-Authentisierung notwendig – Fingerabdruck und PIN. Diese Kombination ist stark genug, um den Nutzer vor den meisten Angriffsszenarien zu schützen, sei es physischer Diebstahl oder Phishing-Angriffe.
Wenn sie korrekt implementiert ist, wäre eine TouchID-basierte Zwei-Faktor-Authentisierung in Unternehmensanwendungen auch eine gute Verteidigung gegen Angreifer wie die Syrian Electronic Army. Man kann Nutzer oft dazu bewegen, ein Passwort herauszugeben. Vom anderen Ende der Welt an seinen Fingerabdruck zu kommen ist aber deutlich schwieriger.
Obwohl sie gehackt ist: TouchID ist ein großer Schritt vorwärts auf dem Weg zu mehr Smartphone-Sicherheit. Sie zu hacken hat meinen Respekt für ihr Design erhöht und mir auch ein paar Ideen gegeben, wie wir sie in Zukunft verbessern können. Ich hoffe, dass Apple den Kontakt mit der Industrie sucht, da TouchID an offensichtlichen Wachstumsschmerzen krankt. Es gibt viel Raum für Verbesserungen und viele tolle Möglichkeit, wenn wir es richtig anstellen.
Für den Anfang: Apple, können wir bitte eine Zwei-Faktor-Authentisierung haben?

Autor

Lookout