Ausgetrickst: Galaxy-S8-Iriserkennung gehackt

Die Iriserkennung des Galaxy S8 von Samsung ist offenbar nicht sicher: Dem Chaos Computer Club (CCC) ist es jetzt nach eigenen Angaben gelungen, das biometrische Erkennungssystem erfolgreich zu überwinden.

Hacker überlisten die Iriserkennung beim Galaxy S8.
(Foto: Sergey Nivens- Fotolia.com)

Vor biometrischen Erkennungssystemen warnt jetzt der Chaos Computer Club (CCC). Er verweist darauf, dass die Iriserkennung des neuen Samsung Galaxy S8 von den eigenen Hackern erfolgreich überwunden werden konnten. Das in dem Smartphone verwendete biometrischen Erkennungssystem der Firma Princeton Identity soll dafür sorgen, dass das Gerät seine individuellen Besitzer anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen. Dieses Versprechen hält einem Test nicht stand, so der CCC. Mit einer einfach nachzubauenden Attrappe konnten die Hacker eigenen Angaben zufolge vortäuschen, das Auge des autorisierten Besitzers vor sich zu haben. Dazu wurde das Auge des Nutzers fotografiert und auf dem Ausdruck eine Kontaktlinse aufgelegt, um die Iriserkennung zu täuschen. Im Experiment habe das Telefon daraufhin die Zugangssperre aufgehoben.

Daher taugt die Iriserkennung nach Einschätzung der Experten allenfalls dazu, ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen. Wer aber ein Foto des Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. CCC-Sprecher Dirk Engling rät: »Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück«.

Bereits bei Fingerabdruck-Erkennungssystemen konnte der CCC beweisen, dass sie leicht überwunden werden können, und mit einfachen Mitteln den entsprechenden Sensor des iPhones umgehen. »Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten«, so Engling. Auch wer keine Bilder von sich ins Internet stellt, ist nach Einschätzung des CCC gefährdet: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. Selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern lassen sich laut dem CCC ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen.