Fingerabdruckscanner mögen eine bequeme Form der Authentifizierung auf Smartphones sein, eine sichere sind sie nicht. Immer wieder haben Sicherheitsexperten in den letzten Jahren gezeigt, wie einfach sich so ein Fingerabdruck nachbilden lässt, um Zugriff auf das Smartphone einer anderen Person zu bekommen.

Master

Ein US-amerikanisches Forscherteam hat nun aber einen anderen Angriffsweg gewählt, und zwar einen, der durchaus Sorgen bereiten kann. Mithilfe von Maschinenlernen haben sie eine Art Master-Fingerabdruck entwickelt, mit dem sich die Smartphones beliebiger User entsperren lassen sollen, wie "Technology Review" berichtet.

Basis

Dabei bedient man sich einer Eigenheit von aktuell bei Smartphones genutzten Fingerprint-Scannern. Um die Treffsicherheit zu erhöhen, wird hier jeder Fingerabdruck in mehrere Teilbereiche getrennt, immerhin sind die Sensoren nicht groß genug, um wirklich zuverlässig den gesamten Abdruck aufzunehmen. Diese Entscheidung macht solche Lösungen aber auch wesentlich unsicherer, wie die Forscher eindrücklich demonstrieren.

Testverlauf

Als Basis für die eigenen Tests nahm man eine Datenbank von 800 Fingerabdrücken, die in 8.200 Teilbereiche aufgesplittet waren. Während sich bei den gesamten Fingerabdrücken keine Übereinstimmung mit einem zweiten zeigte, war das bei den Teilbereichen anders. Gleich 1.200 dieser Teilabdrücke stimmten mit vier Prozent aller anderen Abdrücke überein.

Verbesserung

Von einem Master-Abdruck ist man mit solch einer Trefferquote aber natürlich noch weit entfernt, also griffen die Forscher zu einem Maschinenlernalgorithmus. Dieser veränderte die Abdrücke immer leicht, um zu sehen, ob sich damit eine höhere Übereinstimmung ergibt. War dies der Fall, folgte die nächste Anpassung. Auf diese Weise entstand schlussendlich ein künstlicher Fingerprint, mit dem sich 65 Prozent der Smartphones im Test entsperren ließen.

Angemerkt sei, dass diese Trefferquote natürlich nur auf die 800 Fingerabdrücke im Test zutrifft. Allerdings eröffnet diese Methode natürlich neue Möglichkeiten für Angreifer. So wäre es etwa denkbar, dass Hacker künftig Fingerabdrücke aus unterschiedlichsten Quellen sammeln, um hier eine Art Wörterbuch als Basis für künftige Attacken zu erstellen.

Lehren

Als Fazit sehen die Forscher, dass die Smartphone-Hersteller künftig auf höher auflösende Scanner setzen müssen. Damit ließen sich solche Tricks rechnerisch recht einfach unrealistisch machen. Zudem sollten auch Höhenunterschiede der Rillen herangezogen werden. Für die Nutzer heißt die Lehre hingegen einmal mehr, dass Fingerabdruckscanner keine wirklich sichere Form des Schutzes der eigenen Daten sind. (red, 4.5.2017)