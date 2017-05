Das Samsung Galaxy S8 ist mit mehreren Sicherheitsfeatures ausgestattet: Neben dem bekannten Fingerabdrucksensor gibt es eine Gesichtserkennung und einen Irisscanner. Während ersteres Feature als verhältnismäßig sicher gilt, kann die Gesichtserkennung mit einem einfachen Foto des Besitzers "gehackt" werden. Wie der Chaos Computer Club auf seiner Webseite berichtet, ist leider auch der Irisscanner nicht besonders sicher.

Das CCC-Mitglied starbug fand demnach einen ziemlich simplen Weg, um die Iriserkennung des Galaxy S8 auszutricksen. Der Biometrieforscher, der auch schon eine Möglichkeit entwickelte, den Fingerabdrucksensor des iPhone zu umgehen, setzt dabei auf eine ähnliche Methode wie auch bei der Täuschung der Gesichtserkennung. Benötigt werden dafür lediglich eine handelsübliche Spiegelreflexkamera, ein Drucker und eine Kontaktlinse.

Höheres Risiko als beim Fingerabdruck

Der Sensor des Galaxy S8 und des Galaxy S8 Plus, der die Iris erkennt, arbeitet im Infrarotbereich, in dem die feinen Details besonders gut zu erkennen sind. Um ein passendes Abbild zu erhalten, verwendet starbug eine Kamera, die er zunächst in den Nachtmodus versetzt und mit der er dann vom Nutzer ein Foto aus ein paar Metern Entfernung knipst. Das Foto wird anschließend ausgedruckt.

Bevor das Foto vor das Galaxy S8 gehalten wird, muss lediglich noch eine Kontaktlinse auf der ausgedruckten Iris platziert werden. Dies ist notwendig, um auch die Wölbung des Auges zu imitieren. Mit dem Ergebnis kann das Smartphone in Sekundenschnelle entsperrt werden. Wie der Chaos Computer Club hinzufügt, ist das Sicherheitsrisiko beim Schutz des Smartphones mit einem Irisscanner höher als bei der Verwendung des Fingerabdrucksensors, weil ausreichend hochauflösende Fotos selbst aus einer Entfernung von 5 Metern geschossen werden können. Der Diebstahl der biometrischen Merkmale ist also besonders einfach. Gewarnt wird auch vor der Verbindung solcher noch nicht ausgereifter Authentifizierungsmethoden mit Zahlungssystemen.