Sicherheitsforschern ist es gelungen, das Muster von Fingerabdruck-Gesten auf einem Touchdisplay nur anhand der dabei erzeugten Geräuschen zu rekonstruieren. Es ist eine Forschungsarbeit, und der "PrintListener" ist auch nur in einem geringen Teil der Angriffe in der Lage, das Fingerabdruck-Muster genau zu ermitteln. Trotzdem ist das ein Hinweis, dass Fingerabdruck-Muster auf Smartphones zum Entsperren angegriffen werden können.
Anzeige
Ich hatte das Ganze die Tage bereits mitbekommen, die Studie PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound amerikanischer und chinesischer Forscher ist als PDF-Dokument erhältlich. Der nachfolgende Post auf BlueSky verweist auf einen reddit.com-Thread, der inzwischen aber von Moderatoren teilweise gelöscht wurde.
Die Redaktion von heise hat das Thema aber in diesem Beitrag etwas aufbereitet. Ergebnis ist, dass durch Auswertung der Audiogeräusche die jeweiligen Entsperrmuster in bis zu 27,9 Prozent teilweise rekonstruiert werden konnten. Immerhin gelang es, in fünf Versuchen das vollständige Sperrmuster in 9,3 Prozent der Fälle zu ermitteln. Kein wirklich praktisches Szenario für Real World-Angriffe, sondern ein theoretischer Ansatz.
Anzeige
ich werde immer sehr misstrauisch, wenn jemand Prozentzahlen mit Nachkommastellen angibt. Ganz besonders wenn es nur ein paar Testfälle gegeben hat oder diese gar nicht nennt. Seriös finde ich das nicht.
naja sehr theoretisch, zuerst muss mal eine Malware auf Gerät kommen, dann diese Erkennungsrate. Wenn ein Ganove bereits Malware aufs Gerät bekommt wird er sich wohl kaum mit so einem Fiasko rumplagen sondern gleich in die Vollen gehen mit Malware die auch 100% Ergebnisse liefert.
Kommt leider immer wieder vor, dass Schlagzeilen mit "Forschern ist es gelungen" dann solche ganz dollen Sicherheitslücken aufkommen,
die in der Theorie zwar funktionieren, in der Praxis aber totaler Quatsch sind.
Interessant. Es gibt wohl wirklich nichts Neues unter der Sonne…
Ich habe vor ca. 30 Jahren bei einem (damals) bekannten Handy-Hersteller gearbeitet. Dort gab es tatsächlich die Idee, auf mechanische Tasten zu verzichten und stattdessen die im Gerät vorhandene Spracherkennung zu nutzen, um anhand der unterschiedlichen Geräusche zu ermitteln, welche Zahl/Taste gerade gedrückt worden war. Kam aber nie über Prototypen hinaus.
Nachdem ich den Original-Artikel (danke für den Link) überflogen habe, muss ich mich (und Herrn Born) etwas korrigieren.
Es geht offensichtlich nicht darum, akustisch festzustellen, wo auf dem Touchscreen es einen Kontakt gegeben hat, und anhand dieser Information Swipe-Gesten zu rekonstruieren, sondern *den Fingerabdruck selbst* mit hinreichender Genauigkeit zu bestimmen, so dass er in einer Fingerabdruck-Datenbank gefunden werden kann. Das ist doch schon etwas interessanter…