schließen

Loginbox

Trage bitte in die nachfolgenden Felder Deinen Benutzernamen und Kennwort ein, um Dich einzuloggen.


  • Username:
  • Passwort:
  •  
  • Bei jedem Besuch automatisch einloggen.


  •  
   

TouchID - Fingerabdruckscanner gehackt / unsicher

iPhone 5 und neuer sowie Samsung Galaxy S6 & Honor 7

infoman offline
Benutzer
Avatar
Ort:  
Beiträge: 2773 seit: 06 / 2008
Private Nachricht
Betreff: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 08.03.2016 - 13:37 Uhr  -  
Es wurde ja immer mal wieder angefragt, wann die Funktion (TouchID und wie sie alle heißen) in die Onlinebanking-Programm eingebunden werden. siehe ua. topic.php?t=18145
Zitat
Fingerabdrucksensor des iPhone 6 überlistet
Neues iPhone, gleiches Spiel: Auch der Fingerabdrucksensor des iPhone 6 fällt auf eine Gummiattrappe eines Fingers herein. Dabei ist das Missbrauchspotenzial unter iOS 8 größer denn je.

Das war bereits 19.09.2014
Nun geht es weiter mit:
Zitat
Samsung Galaxy S6 & Honor 7 Fingerabdruckscanner gehackt
Forscher haben erfolgreich den Fingerabdruckscanner des Samsung Galaxy S6 und Huawei Honor 7 umgangen. Dabei war das Samsung Smartphone leichter zu knacken.

http://www.teltarif.de/samsung...63116.html


In Verbindung mit PushTAN usw. stellt sich dann die Frage, ob der erreichte Komfort (TouchID) nicht zu stark zu Lasten der Sicherheit (und in diesem Fall des Geldbeutels) geht?
Dieser Post wurde 2 mal bearbeitet. Letzte Editierung: 08.03.2016 - 13:40 Uhr von infoman.
nach unten nach oben
msa offline
Benutzer
Avatar
Ort:   München
Beiträge: 3417 seit: 03 / 2007
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 08.03.2016 - 13:49 Uhr  -  
Naja, also daß dieser Fingerabdruckscanner keinesfalls einen richtigen Sicherheitswert hat sondern eigentlich eher in die Kategorie Spielzeug einzuordnen ist und man sich gerade beim Banking auf keinen Fall auf dessen Sicherheit verlassen kann - herstellerübergreifend - sollte doch eigentlich schon lange jedem klar sein?
nach unten nach oben
Raimund Sichmann offline
Benutzer
Avatar
Ort:  
Beiträge: 7186 seit: 08 / 2002
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 08.03.2016 - 19:07 Uhr  -  
nun, besser als eine schlechte oder gar keine PIN, oder?
Gruß
Raimund
nach unten nach oben
msa offline
Benutzer
Avatar
Ort:   München
Beiträge: 3417 seit: 03 / 2007
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 08.03.2016 - 19:32 Uhr  -  
Ähm, nein, eigentlich gleichbedeutend mit garkeine PIN. Wer sein mobiles Gerät, das man jederzeit verlieren kann oder das einem jederzeit gestohlen oder auch geRAUBT werden kann, nicht mit harten Zugangshürden schützt, handelt fahrlässig. Und wer dann noch Bankzugangsdaten drauf hat und dort Bankrechner-PINs abspeichert und die dann nur mit einem Fingerabdruck sichert, handelt grob farlässig. Und wenn man dann letztendlich Freigabeverfahren wie z.B. pushTAN via Fingerabdrucksensor "sichert", dann bleibt mir die Luft weg vor Unverständnis!!!
nach unten nach oben
B.N. offline
Benutzer
Avatar
Ort:  
Beiträge: 76 seit: 12 / 2006
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 21.03.2016 - 10:55 Uhr  -  
Zitat geschrieben von msa

Ähm, nein, eigentlich gleichbedeutend mit garkeine PIN. Wer sein mobiles Gerät, das man jederzeit verlieren kann oder das einem jederzeit gestohlen oder auch geRAUBT werden kann, nicht mit harten Zugangshürden schützt, handelt fahrlässig. Und wer dann noch Bankzugangsdaten drauf hat und dort Bankrechner-PINs abspeichert und die dann nur mit einem Fingerabdruck sichert, handelt grob farlässig. Und wenn man dann letztendlich Freigabeverfahren wie z.B. pushTAN via Fingerabdrucksensor "sichert", dann bleibt mir die Luft weg vor Unverständnis!!!


Und wo ist das realistische Angriffsszenario für diesen Fall? Ja man kann den Fingerabdruck hacken. Dafür muss man erst einmal ein hochauflösendes Bild des Fingerabdrucks machen (und auch den richtigen Finger erwischen der dafür genutzt wurde), aufwendig irgendwelche Folien ausgedruckt und anschließend mit Latexmilch rumgefuchtelt werden. Und man muss vorher natürlich noch genau das Handy stehlen auf dem die pushTAN App installiert wurde. Das ist doch völlig unrealitisch daraus ein Angriffsszenario für die Praxis sich zu stricken.

Warum sollte man dann nicht lieber ein Telefon mit mTAN klauen? Da brauche ich nichtmal das Telefon, da kopiert man einfach die Sim-Karte wie es ja schon funktioniert hat. Eine PIN Absicherung ist doch kein Stück besser.

Fingerabdruck-Sensor ist generell ne feine Sache, Passwörter eintippen nervt einfach nur und da kann mir auch niemand erzählen, dass es damit sicherer wäre. Das lässt sich viel einfacher stehlen. Im Zweifelsfall filmt mich dabei jemand wie ich das gerade eingebe. Unrealistisch? Das jemand sich mein Handy + Fingerabbdruck entwendet aber erst recht. Vor allem merke ich letzteres schnell, wenn das Handy gestohlen wird, sperrt man natürlich gleich entsprechende Freigabe-Apps.
Dieser Post wurde 1 mal bearbeitet. Letzte Editierung: 21.03.2016 - 10:56 Uhr von B.N..
nach unten nach oben
infoman offline
Benutzer
Avatar
Ort:  
Beiträge: 2773 seit: 06 / 2008
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 26.07.2016 - 05:43 Uhr  -  
Zitat
3D-Druck statt Hacker: Polizei will Smartphone mit nachgemachtem Finger entsperren

http://t3n.de/news/3d-druck-statt-hacker-polizei-728984/
nach unten nach oben
infoman offline
Benutzer
Avatar
Ort:  
Beiträge: 2773 seit: 06 / 2008
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 02.02.2017 - 14:18 Uhr  -  
Zitat
Biometrie - Fingerabdruck-Scan kann mit Fotos geknackt werden
Der angeblich so sichere Fingerabdruck kann leicht rekonstruiert werden. Iris-Scans sind sogar noch einfacher zu überlisten.

http://www.sueddeutsche.de/wis...-1.3357627
nach unten nach oben
bargeld offline
Benutzer
Avatar
Ort:  
Beiträge: 3 seit: 04 / 2017
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 10.04.2017 - 15:43 Uhr  -  
Beim Internet-Banking ist die TouchID irrelevant.

Beim Rücküberweisungs- und Testüberweisungstrojaner möchte der Anwender die Phishing-Transaktion durchführen und legt selbst seinen Finger auf den Fingerabdruck-Scanner.
Und bei anderen mobileTAN-Angriffen wie z.B. weitere SIM-Karte oder Android-Trojaner ist der Angreifer auch nie im Besitz des Smartphones.

Problematisch ist eigentlich nur, dass der Kunde glaubt es wäre eine Sicherheitsfunktion, wodurch Rücküberweisungs- und Testüberweisungstrojaner sogar glaubhafter werden.
nach unten nach oben
Holger Fischer offline
Benutzer
Avatar
Ort:   Korschenbroich
Beiträge: 5132 seit: 02 / 2003
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 10.04.2017 - 15:48 Uhr  -  
Zitat geschrieben von bargeld

Beim Internet-Banking ist die TouchID irrelevant.

Beim Rücküberweisungs- und Testüberweisungstrojaner möchte der Anwender die Phishing-Transaktion durchführen und legt selbst seinen Finger auf den Fingerabdruck-Scanner.
Und bei anderen mobileTAN-Angriffen wie z.B. weitere SIM-Karte oder Android-Trojaner ist der Angreifer auch nie im Besitz des Smartphones.

Problematisch ist eigentlich nur, dass der Kunde glaubt es wäre eine Sicherheitsfunktion, wodurch Rücküberweisungs- und Testüberweisungstrojaner sogar glaubhafter werden.

Da die Bank von der Nutzungd er TouchID überhaupt nichts mitbekommt, kann die auch nicht relevant sein - auch nicht um Trojaner glaubhafter zu machen
nach unten nach oben
bargeld offline
Benutzer
Avatar
Ort:  
Beiträge: 3 seit: 04 / 2017
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 10.04.2017 - 15:50 Uhr  -  
Naja. Das SSL-Zertifikat macht für den Anwender das Internet-Banking ja auch glaubhafter als eine unverschlüsselte HTTP-Verbindung, obwohl SSL für das Internet-Banking auch nicht relevant ist auch wenn gerne gegenteiliges behauptet wird.
Dieser Post wurde 2 mal bearbeitet. Letzte Editierung: 10.04.2017 - 15:51 Uhr von bargeld.
nach unten nach oben
msa offline
Benutzer
Avatar
Ort:   München
Beiträge: 3417 seit: 03 / 2007
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 10.04.2017 - 16:38 Uhr  -  
Inwiefern ist SSL nicht relevant? Das mußt Du uns schon etwas genauer erklären!
nach unten nach oben
Holger Fischer offline
Benutzer
Avatar
Ort:   Korschenbroich
Beiträge: 5132 seit: 02 / 2003
Private Nachricht
Betreff: Re: TouchID - Fingerabdruckscanner gehackt / unsicher  -  Gepostet: 11.04.2017 - 07:46 Uhr  -  
Zitat geschrieben von bargeld

Naja. Das SSL-Zertifikat macht für den Anwender das Internet-Banking ja auch glaubhafter als eine unverschlüsselte HTTP-Verbindung, obwohl SSL für das Internet-Banking auch nicht relevant ist auch wenn gerne gegenteiliges behauptet wird.

Das "Naja" mußt Du mal erklären.... Eine TouchID könnte für die Bank nur relevant sein, wenn diese anschliessend die Sensordaten selbständig auswertet, sprich die Bank die Biometrischen Daten vorliegen hat und in der Lage ist dessen Echtheit zu verifizieren. Das ist bei TouchID und den Variationen nicht der Fall.

Zu deiner Aussage bzgl SSL lag mir ja auf der Zunge, dass das schlicht Blödsinn ist, wenn man aber sich deinen Vergleich genauer anschaut, kann man zumindest verstehen worauf dein Vergleich abzielt. Der ist dann zwar immer noch Blödsinn, aber hat zumindest eine Logik.

Eine Transportsicherung der Kommunikation ist etwas völlig Anderes als ein "besserer" lokaler Passwortsafe.

Viele Grüße

Holger
nach unten nach oben
 



Registrierte in diesem Topic
Aktuell kein registrierter in diesem Bereich

Cookies von diesem Forum entfernen  •  FAQ / Hilfe  •  Teamseite  •  Impressum   |  Aktuelle Ortszeit: 25.04.2017 - 10:41