Laut Forschern ist nur eine 15-Dollar-Platine erforderlich, um die Fingerabdrucksicherheit eines Android-Smartphones zu umgehen

Fingerabdrucksensoren auf Android-Smartphones sind wahrscheinlich die häufigste Ergänzung zu diesen tragbaren technischen Geräten. Obwohl es praktisch ist, dass der Besitzer eines Mobiltelefons durch einmaliges Auflegen eines Fingers oder Daumens Zugriff auf das Gerät erhalten kann, besteht hier doch ein Sicherheitsrisiko. Einige Forscher haben gezeigt, dass die Übernahme von Fingerabdrücken, die auf verschiedenen Android-Geräten gespeichert sind, über eine kostengünstige Platine für 15 US-Dollar möglich ist.

Die 15-Dollar-Platine wird von Forschern BrutePrint genannt und es kann nur 45 Minuten dauern, um die gespeicherten Fingerabdrücke eines Android-Smartphones zu sammeln. Um zu zeigen, dass es funktioniert, haben diese Forscher es auf zehn Smartphones getestet, zwei davon waren das iPhone SE und das iPhone 7, während die übrigen High-End-Modelle waren, auf denen Googles mobiles Betriebssystem lief und die einige Jahre alt waren.

BrutePrint besteht aus einem STM32F412-Mikrocontroller von STMicroelectronics, einem bidirektionalen, zweikanaligen Analogschalter namens RS2117, einer SD-Karte mit 8 GB internem Speicher und einem Anschluss, der das Motherboard des Smartphones mit der Platine eines Fingerabdrucksensors verbindet. BrutePrint nutzt eine Schwachstelle in Android-Smartphones aus, die unbegrenzte Fingerabdruckraten ermöglicht, wobei das Gerät entsperrt wird, sobald die ähnlichste Übereinstimmung in der Datenbank gefunden wird.

Allerdings wird jedes Android-Smartphone anders hergestellt. Ars Technica berichtet, dass die Forscher herausgefunden haben, dass das Entsperren eines Mobiltelefons zwischen 40 Minuten und 14 Stunden dauerte. Von allen 10 getesteten Modellen benötigte das Galaxy S10 Plus mit 0,73 bis 2,9 Stunden die kürzeste Zeit zum Entsperren, während das Xiaomi Mi 11 Ultra zwischen 2,78 und 13,89 Stunden zum Entsperren benötigte. Den Forschern gelang es nicht, die Sicherheit der beiden getesteten iPhone-Modelle zu umgehen, da iOS diese Sicherheitsdaten verschlüsselt, Android hingegen nicht, was bei Verbrauchern Anlass zur Sorge geben kann.

Glücklicherweise glauben diese Forscher, dass diese Sicherheitslücke im Betriebssystem gemildert werden kann, da sie hoffen, dass die neuesten Erkenntnisse die Benutzer dazu ermutigen werden, sorgfältige Maßnahmen zur Verschlüsselung von Fingerabdruckdaten zu ergreifen. Darüber hinaus geben diese Forscher an, dass einer solchen Sicherheitsbedrohung begegnet werden kann, wenn Hersteller von Smartphones und Fingerabdrucksensoren gemeinsam zusammenarbeiten. Jetzt müssen nur noch zukünftige Android-Smartphones mit erhöhter Sicherheit ausgeliefert werden.

Es ist wahrscheinlich, dass es unter normalen Umständen wahnsinnig schwierig ist, die Fingerabdrucksicherheit eines Android-Smartphones zu umgehen, aber das bedeutet nicht, dass Hersteller diesen Exploit, der durch eine kostengünstige Schaltung möglich ist, völlig ignorieren.

Nachrichtenquelle: Ars Technica