TouchID - Fingerabdruckscanner gehackt / unsicher

iPhone 5 und neuer sowie Samsung Galaxy S6 & Honor 7

 
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 08.03.2016 - 13:37 Uhr  ·  #1
Es wurde ja immer mal wieder angefragt, wann die Funktion (TouchID und wie sie alle heißen) in die Onlinebanking-Programm eingebunden werden. siehe ua. http://www.onlinebanking-forum.de/forum/topic.php?t=18145
Zitat
Fingerabdrucksensor des iPhone 6 überlistet
Neues iPhone, gleiches Spiel: Auch der Fingerabdrucksensor des iPhone 6 fällt auf eine Gummiattrappe eines Fingers herein. Dabei ist das Missbrauchspotenzial unter iOS 8 größer denn je.

Das war bereits 19.09.2014
Nun geht es weiter mit:
Zitat
Samsung Galaxy S6 & Honor 7 Fingerabdruckscanner gehackt
Forscher haben erfolgreich den Fingerabdruckscanner des Samsung Galaxy S6 und Huawei Honor 7 umgangen. Dabei war das Samsung Smartphone leichter zu knacken.

http://www.teltarif.de/samsung…63116.html


In Verbindung mit PushTAN usw. stellt sich dann die Frage, ob der erreichte Komfort (TouchID) nicht zu stark zu Lasten der Sicherheit (und in diesem Fall des Geldbeutels) geht?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 08.03.2016 - 13:49 Uhr  ·  #2
Naja, also daß dieser Fingerabdruckscanner keinesfalls einen richtigen Sicherheitswert hat sondern eigentlich eher in die Kategorie Spielzeug einzuordnen ist und man sich gerade beim Banking auf keinen Fall auf dessen Sicherheit verlassen kann - herstellerübergreifend - sollte doch eigentlich schon lange jedem klar sein?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 08.03.2016 - 19:07 Uhr  ·  #3
nun, besser als eine schlechte oder gar keine PIN, oder?
Gruß
Raimund
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 08.03.2016 - 19:32 Uhr  ·  #4
Ähm, nein, eigentlich gleichbedeutend mit garkeine PIN. Wer sein mobiles Gerät, das man jederzeit verlieren kann oder das einem jederzeit gestohlen oder auch geRAUBT werden kann, nicht mit harten Zugangshürden schützt, handelt fahrlässig. Und wer dann noch Bankzugangsdaten drauf hat und dort Bankrechner-PINs abspeichert und die dann nur mit einem Fingerabdruck sichert, handelt grob farlässig. Und wenn man dann letztendlich Freigabeverfahren wie z.B. pushTAN via Fingerabdrucksensor "sichert", dann bleibt mir die Luft weg vor Unverständnis!!!
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 21.03.2016 - 10:55 Uhr  ·  #5
Zitat geschrieben von msa

Ähm, nein, eigentlich gleichbedeutend mit garkeine PIN. Wer sein mobiles Gerät, das man jederzeit verlieren kann oder das einem jederzeit gestohlen oder auch geRAUBT werden kann, nicht mit harten Zugangshürden schützt, handelt fahrlässig. Und wer dann noch Bankzugangsdaten drauf hat und dort Bankrechner-PINs abspeichert und die dann nur mit einem Fingerabdruck sichert, handelt grob farlässig. Und wenn man dann letztendlich Freigabeverfahren wie z.B. pushTAN via Fingerabdrucksensor "sichert", dann bleibt mir die Luft weg vor Unverständnis!!!


Und wo ist das realistische Angriffsszenario für diesen Fall? Ja man kann den Fingerabdruck hacken. Dafür muss man erst einmal ein hochauflösendes Bild des Fingerabdrucks machen (und auch den richtigen Finger erwischen der dafür genutzt wurde), aufwendig irgendwelche Folien ausgedruckt und anschließend mit Latexmilch rumgefuchtelt werden. Und man muss vorher natürlich noch genau das Handy stehlen auf dem die pushTAN App installiert wurde. Das ist doch völlig unrealitisch daraus ein Angriffsszenario für die Praxis sich zu stricken.

Warum sollte man dann nicht lieber ein Telefon mit mTAN klauen? Da brauche ich nichtmal das Telefon, da kopiert man einfach die Sim-Karte wie es ja schon funktioniert hat. Eine PIN Absicherung ist doch kein Stück besser.

Fingerabdruck-Sensor ist generell ne feine Sache, Passwörter eintippen nervt einfach nur und da kann mir auch niemand erzählen, dass es damit sicherer wäre. Das lässt sich viel einfacher stehlen. Im Zweifelsfall filmt mich dabei jemand wie ich das gerade eingebe. Unrealistisch? Das jemand sich mein Handy + Fingerabbdruck entwendet aber erst recht. Vor allem merke ich letzteres schnell, wenn das Handy gestohlen wird, sperrt man natürlich gleich entsprechende Freigabe-Apps.
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 26.07.2016 - 05:43 Uhr  ·  #6
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 02.02.2017 - 14:18 Uhr  ·  #7
Zitat
Biometrie - Fingerabdruck-Scan kann mit Fotos geknackt werden
Der angeblich so sichere Fingerabdruck kann leicht rekonstruiert werden. Iris-Scans sind sogar noch einfacher zu überlisten.

http://www.sueddeutsche.de/wis…-1.3357627
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 3
Dabei seit: 04 / 2017
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 10.04.2017 - 15:43 Uhr  ·  #8
Beim Internet-Banking ist die TouchID irrelevant.

Beim Rücküberweisungs- und Testüberweisungstrojaner möchte der Anwender die Phishing-Transaktion durchführen und legt selbst seinen Finger auf den Fingerabdruck-Scanner.
Und bei anderen mobileTAN-Angriffen wie z.B. weitere SIM-Karte oder Android-Trojaner ist der Angreifer auch nie im Besitz des Smartphones.

Problematisch ist eigentlich nur, dass der Kunde glaubt es wäre eine Sicherheitsfunktion, wodurch Rücküberweisungs- und Testüberweisungstrojaner sogar glaubhafter werden.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 10.04.2017 - 15:48 Uhr  ·  #9
Zitat geschrieben von bargeld

Beim Internet-Banking ist die TouchID irrelevant.

Beim Rücküberweisungs- und Testüberweisungstrojaner möchte der Anwender die Phishing-Transaktion durchführen und legt selbst seinen Finger auf den Fingerabdruck-Scanner.
Und bei anderen mobileTAN-Angriffen wie z.B. weitere SIM-Karte oder Android-Trojaner ist der Angreifer auch nie im Besitz des Smartphones.

Problematisch ist eigentlich nur, dass der Kunde glaubt es wäre eine Sicherheitsfunktion, wodurch Rücküberweisungs- und Testüberweisungstrojaner sogar glaubhafter werden.

Da die Bank von der Nutzungd er TouchID überhaupt nichts mitbekommt, kann die auch nicht relevant sein - auch nicht um Trojaner glaubhafter zu machen
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 3
Dabei seit: 04 / 2017
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 10.04.2017 - 15:50 Uhr  ·  #10
Naja. Das SSL-Zertifikat macht für den Anwender das Internet-Banking ja auch glaubhafter als eine unverschlüsselte HTTP-Verbindung, obwohl SSL für das Internet-Banking auch nicht relevant ist auch wenn gerne gegenteiliges behauptet wird.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 10.04.2017 - 16:38 Uhr  ·  #11
Inwiefern ist SSL nicht relevant? Das mußt Du uns schon etwas genauer erklären!
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: TouchID - Fingerabdruckscanner gehackt / unsicher

 · 
Gepostet: 11.04.2017 - 07:46 Uhr  ·  #12
Zitat geschrieben von bargeld

Naja. Das SSL-Zertifikat macht für den Anwender das Internet-Banking ja auch glaubhafter als eine unverschlüsselte HTTP-Verbindung, obwohl SSL für das Internet-Banking auch nicht relevant ist auch wenn gerne gegenteiliges behauptet wird.

Das "Naja" mußt Du mal erklären.... Eine TouchID könnte für die Bank nur relevant sein, wenn diese anschliessend die Sensordaten selbständig auswertet, sprich die Bank die Biometrischen Daten vorliegen hat und in der Lage ist dessen Echtheit zu verifizieren. Das ist bei TouchID und den Variationen nicht der Fall.

Zu deiner Aussage bzgl SSL lag mir ja auf der Zunge, dass das schlicht Blödsinn ist, wenn man aber sich deinen Vergleich genauer anschaut, kann man zumindest verstehen worauf dein Vergleich abzielt. Der ist dann zwar immer noch Blödsinn, aber hat zumindest eine Logik.

Eine Transportsicherung der Kommunikation ist etwas völlig Anderes als ein "besserer" lokaler Passwortsafe.

Viele Grüße

Holger
Gewählte Zitate für Mehrfachzitierung:   0