Ein Smartphone per Fingerabdruck abzusichern und dort anzumelden ist praktisch – und bislang auch vergleichsweise sicher. Doch jetzt gibt es eine „Bruteprint“ genannte Methode, um sich Zugang zu verschaffen.
Stell dir vor, du hast dein Android-Smartphone mit einer sicheren Fingerabdrucksperre gesichert, doch plötzlich knacken Hacker innerhalb von Minuten deine Sicherheitsmaßnahme.
Klingt unglaublich, oder? Doch genau das haben Forscher der Universität Zhejiang in China geschafft und eine Methode namens Bruteprint entwickelt, um die Fingerabdrucksperre mit minimalen Mitteln und akzeptablem Zeitaufwand zu umgehen.
Wie machen sie das?
Per Fingerabdruck im Smartphone anmelden: Praktisch, aber nicht mehr sicher
Bruteprint: Einbruch per Fingerabdruck
Statt exakter Übereinstimmungen reicht eine Schwelle an Gemeinsamkeiten aus. Bruteprint nutzt eine Datenbank an Fingerabdrücken, um einen passenden Abdruck zu finden, der den gespeicherten Abdrücken ausreichend entspricht. Und woher kommen diese Datenbanken? Durch Leaks sind sie für Hacker verfügbar.
Aber bevor du jetzt in Panik gerätst, solltest du wissen, dass Bruteprint aus einem kleinen Board besteht, das mit einem STM32F412-Microcontroller und einer Fingerabdruckdatenbank ausgestattet ist. Das Board muss mit dem Smartphone verbunden werden, wofür es geöffnet werden muss. Das dürfte unbemerkte Attacken ausschließen.
Die Forscher testeten ihr Vorgehen mit zehn verschiedenen Smartphone-Modellen, darunter einem Galaxy S10+, einem Xiaomi Mi 11 Ultra, einem Oneplus 7 Pro und einem iPhone 7 und SE. Doch bei den iPhones funktioniert die Attacke nicht, da die Fingerabdruckdaten verschlüsselt gespeichert werden.
Keine Panik!
Also, keine Panik! Aber sei wachsam und schütze deine Daten auf deinem Android-Smartphone so gut wie möglich. Wie sicher ist deine Sicherheitsmaßnahme? Bist du bereit für die Herausforderung?
Übrigens: Die Zeit, die jeweils für eine erfolgreiche Attacke nötig war, war sehr unterschiedlich, abhängig vom verwendeten Gerät. Der Zeitaufwand betrug zwischen rund 40 Minuten und 14 Stunden. Nicht “mal eben” gemacht; aber für den Fall, dass eine gezielte Attacke das Ziel ist, durchaus vertretbar. Der verhältnismäßig niedrige Kostenaufwand von 15 US-Dollar für die Elektronik ist sicher auch keine Hürde.
