Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsgau bei Samsung Galaxy S10: Fingerabdruck-Schutz lässt sich auf einfache Weise aushebeln

Bei Samsungs aktuellem Topmodell Galaxy S10 sorgt ein Feature für ein hohes Sicherheitsrisiko, an deren Technologie auch Apple für die Nutzung in einem zukünftigen iPhone-Modell tüfteln soll. Es geht um den über das Display nutzbaren und von Samsung als „revolutionär“ bezeichneten Fingerabdrucksensor.

Demnach reicht Berichten von The Sun und BBC zufolge schon ein Schutzcase aus Silikon (das auch das Display umschließt) für wenige Euro aus, um den Erkennungsschutz auszuhebeln. In der Folge können sich beliebige Anwender per Fingerabdruck auf dem Samsung Galaxy S10 einloggen – selbst wenn ihre Fingerabdruck-Daten nicht hinterlegt und sie somit nicht autorisiert sind.


Billig-Case reicht, um Fingerabdruck-Schutz zu umgehen
Die Engländerin Lisa Neilson wollte das Display und die Rückseite ihres Galaxy S10 durch ein bei eBay gekauftes Rundum-Silikon-Case für umgerechnet rund 3 Euro eigentlich nur vor Kratzern schützen, doch das Utensil bewirkte einen unerwünschten Nebeneffekt. Laut The Sun legte Neilson nach der Befestigung des Cases ihren rechten Daumen auf das Display, um diesen für die Fingerabdruck-Funktion zu autorisieren.

Kurze Zeit später fiel ihr auf, dass sie das Galaxy S10 auf einmal auch mit ihrem linken Daumen entsperren konnte, obwohl er nicht registriert war. Auch mit jedem anderen Finger klappte es, obwohl sie keinen der Finger für das Entsperren freigegeben hatte. Selbst ihr Mann hatte kein Problem, den Fingerabdruck-Schutz ihres Smartphones zu überwinden. Gegenüber The Sun äußerte sich Neilson besorgt: „Jeder kann auf das Smartphone zugreifen und zum Beispiel an die Daten meiner Finanz-Apps gelangen.“ Das Samsung-Smartphone ihrer Schwester zeigte den gleichen, mangelhaften Fingerabdruck-Schutz.

Samsung bestätigt Sicherheitsproblem und kündigt Patch an
Nachdem sich Neilson an den Samsung-Support gewandt hatte, untersuchte der Mitarbeiter das Gerät aus der Ferne per Remote-Zugriff und gestand das Sicherheitsproblem schließlich ein. Ein Samsung-Sprecher sprach gegenüber Medien von „internen Untersuchungen“, die das Unternehmen aktuell durchführe, um dem Fehler auf den Grund zu gehen. Grundsätzlich sei es für Kunden empfehlenswert, nur von Samsung autorisiertes Zubehör zu verwenden.

Samsung-Nutzer können der BBC zufolge mit einem Software-Patch rechnen, der das Sicherheitsproblem beseitigen soll. Das Unternehmen stellte ein entsprechendes Update in Aussicht. Zu den ersten Reaktionen bezüglich des ungeschützten Fingerabdruckzugriffs gehört eine Kundenwarnung der südkoreanischen KaKao Bank. Bis auf weiteres sollen Nutzer der hauseigenen App aus Sicherheitsgründen auf die Fingerabdruck-Erkennung verzichten und eine andere Authentifizierungsmethode wählen.
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
Mac mini M4
Mac mini M4
Test AirPods Pro 2
Test AirPods Pro 2
M4 Max: Noch beeindruckendere Benchmark-Ergebnisse
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Mac mini M4 im ersten Test: Was hält der kleine Würfel?
Mac mini M4 im ersten Test: Was hält der kleine...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 30 Jahren: Apple holt Sanierer – kann das sinkende Schiff noch gerettet werden?
Vor 30 Jahren: Apple holt Sanierer – kann das s...

Kommentare

teorema67
teorema6717.10.19 15:35
Wahnsinn, echt ein Hammer! Mit einem Rundumcase sollte der Sensor gar nicht funktionieren, da er kaum durch das Case hindurch zuverlässig detektieren kann.

Die News hier sind spektakulärer als auf n-tv (und das meine ich nicht ironisch).
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
0
Exx317.10.19 15:41
Richtig gut ist auch der Hinweis, ausschließlich autorisiertes Zubehör zu verwenden. Da halten sich Diebe bestimmt dran, wenn sie ein per Fingerabdruck gesperrtes Samsung Galaxy S10 erbeutet haben
+16
el_duderino
el_duderino17.10.19 15:46
Kein Feuerwerksverbot in Wals-Siezenheim: Bürgermeister scheitert trotz absoluter Mehrheit

... ist auch ne nachricht des heutigen tages.

würde beides als ähnlich relevant für macuser einstufen
sticks and stones may break my bones, but words will never harm me
-24
Jaguar1
Jaguar117.10.19 15:54
el_duderino
Kein Feuerwerksverbot in Wals-Siezenheim: Bürgermeister scheitert trotz absoluter Mehrheit

... ist auch ne nachricht des heutigen tages.

würde beides als ähnlich relevant für macuser einstufen

Die Spinnen die Ösis
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
-4
matt.ludwig17.10.19 16:05
el_duderino
Kein Feuerwerksverbot in Wals-Siezenheim: Bürgermeister scheitert trotz absoluter Mehrheit

... ist auch ne nachricht des heutigen tages.

würde beides als ähnlich relevant für macuser einstufen
Die News hier interessieren mich mehr als dein Beitrag. Das man sich immer so echauffieren muss, weil es nicht relevant für „Mac“ User sind. Hoffentlich ignorierst du auch jede iOS News.
+9
maculi
maculi17.10.19 16:13
Mit Blick auf biometrische Entsperrmöglichkeiten und android hieß es doch früher schon: Wer es bequem haben will kann Biometrie verwenden, wer es sicher haben will muss ein sicheres PW wählen.
+3
Philantrop
Philantrop17.10.19 16:46
Ich hoffe es ist allen klar was der Fehler ist - und das es kein Super-GAU ist, wie dargestellt.

Durch das aufbringen der Folie und die dadurch entstandenen Lufteinschlüsse (oder Verunreinigungen) - wurden eben diese Lufteinschlüsse als Minuzien identifiziert und zwar beim EINLERNEN der Fingerabdrücke. Somit kann drücken wer will - die Lufteinschlüsse/Minuzien werden erkannt und freigeschaltet.

Hätte in der gleichen Konstelation bei jedem anderen Hersteller auch passieren können.
-4
Holly
Holly17.10.19 16:51
Philantrop
Ich hoffe es ist allen klar was der Fehler ist - und das es kein Super-GAU ist, wie dargestellt.

Durch das aufbringen der Folie und die dadurch entstandenen Lufteinschlüsse - wurden eben diese Lufteinschlüsse als Minuzien identifiziert und zwar beim EINLERNEN der Fingerabdrücke. Somit kann drücken wer will - die Lufteinschlüsse/Minuzien werden erkannt und freigeschaltet.

Hätte in der gleichen Konstelation bei jedem anderen Hersteller auch passieren können.

Wenn das so ist, ist das mal wieder ein von den Medien aufgebrauchter Aufreger, der wie ein Kartenhaus zusammenbricht.

Aber so ist die Gesellschaft inzwischen. Unruhe stifen für Klicks...
-2
Philantrop
Philantrop17.10.19 16:58
Alleine wenn man sich den Artikel der Sun anschaut und die betroffenen Gesichter, ist ziemlich schnell klar, wie Seriös das ganze ist und dass man vielleicht nicht ausgerechnet die Bild ... äh Sun refferenzieren sollte
-2
Legoman
Legoman17.10.19 17:00
MTN
Nachdem sich Neilson an den Samsung-Support gewandt hatte, untersuchte der Mitarbeiter das Gerät aus der Ferne per Remote-Zugriff und gestand das Sicherheitsproblem schließlich ein.
Cool, aus der Ferne den Finger auf das Display gelegt.
-3
Bigflitzer17.10.19 17:40
Man kann ja erstmal das Handy mopsen und später mit dem Case entsperren...läuft also!
-1
Holly
Holly17.10.19 17:49
Bigflitzer
Man kann ja erstmal das Handy mopsen und später mit dem Case entsperren...läuft also!

Eben nicht!
+1
MikeMuc17.10.19 18:52
Philantrop
Nein, hätte nicht passieren können wenn anständig geprüft würde, das ein lebender Finger drauf liegt. Die Folie müßte die Erkennung lahmgelegt haben und das Handy die Annahme eines derartigen „Fingerabdruckes“ verweigern.
+4
Peter Longhorn17.10.19 20:21
MikeMuc
PhilantropNein, hätte nicht passieren können wenn anständig geprüft würde, das ein lebender Finger drauf liegt. Die Folie müßte die Erkennung lahmgelegt haben und das Handy die Annahme eines derartigen „Fingerabdruckes“ verweigern.

Lebenderkennung? Bitte um Nennung eines Herstellers, welcher das integriert hat. Und nein blinzeln ist keine Lebenderkennung.

Wenn es hier echt nur darum geht, dass eine Dritthersteller-Hülle den Fingerabdruckscanner unbrauchbar werden lässt weil er beim Anlernen die Fingerabdrücke so dermaßen abändert, dass jeder als korrekt erkannt wird, dann ist diese Meldung wirklich nicht der Rede Wert... das ist so als würde man bei Apple sagen: Ich habe eine Schaufensterpuppe per FaceUnlock hinzugefügt. Jetzt kann jede Schaufensterpuppe mein Handy entsperren! Nicht nur die eine, welche ich hinzugefügt habe.
Wenn man tatsächlich (wie der Artikel suggeriert aber anscheinend vollkommener Blödsinn ist) mit einer Hülle sämtliche darin gespeicherten Fingerabdrücke übergehen kann, dann wäre das ein Supergau.
+1
don.redhorse17.10.19 20:43
das heisst aber das das ganze so dann nicht nutzbar ist. Ist ja nicht untypisch das eine Hülle verwendet wird, ergo hätte das geprüft werden müssen.

Das Biometrie mehr oder weniger einfach ausgehebelt werden kann ist allgemein bekannt. Es ist aber auch so, wenn man gute Biometrie in Verbindung mit einem sicheren Passwd verwendet ist es allemal besser als ein kurzes unsicheres Passwd und keine Biometrie.. Samsung ist aber schon immer recht schnell damit aufgefallen das deren biometrischen Systeme nicht so der Hit sind....
+2
Peter Longhorn17.10.19 20:53
don.redhorse
das heisst aber das das ganze so dann nicht nutzbar ist. Ist ja nicht untypisch das eine Hülle verwendet wird, ergo hätte das geprüft werden müssen.

Naja, also ich wäre nicht auf die Idee gekommen eine Schutzhülle (kein Schutzglas!) auf die Frontscheibe meines Telefons zu packen und durch diese hindurch den Fingerabdruckscanner zu verwenden. Also dass man diesen Anwendungsfall testen muss halte ich für diskutabel.
Das S10 hat einen In-Display-Fingerprint-Scanner. Meines Wissens sogar mit Ultraschall. Also in der Theorie sogar sicherer als die meisten den Android-Konkurrenz.
0
don.redhorse17.10.19 21:07
diese Hüllen gibts, dass weiß Samsung, folglich muss man das testen. Es geht beim Fingerabdrucksensor nicht um eine Kamerafunktion, oder wie toll der Blitz ist, es geht um die Nutzerdaten eines Smartphones. Samsung weiß das es genug Nutzer gibt die diese Geräte für alles benutzen, vom Einkaufen über Bankgeschäfte und eben privaten Videos. Folglich haben sie sich darum zu kümmern das solch ein Fehler nicht passiert. Sicher ist alles mit genügend krimineller Energie knackbar, aber nicht einfach durch ne Folie, dass ist lächerlich.
0
Calibrator17.10.19 21:11
Prospektfeatures sind halt billig.
0
Peter Longhorn17.10.19 21:17
don.redhorse
diese Hüllen gibts, dass weiß Samsung, folglich muss man das testen. Es geht beim Fingerabdrucksensor nicht um eine Kamerafunktion, oder wie toll der Blitz ist, es geht um die Nutzerdaten eines Smartphones. Samsung weiß das es genug Nutzer gibt die diese Geräte für alles benutzen, vom Einkaufen über Bankgeschäfte und eben privaten Videos. Folglich haben sie sich darum zu kümmern das solch ein Fehler nicht passiert. Sicher ist alles mit genügend krimineller Energie knackbar, aber nicht einfach durch ne Folie, dass ist lächerlich.

Es stimmt schon, aber ich glaube trotzdem vielen ist hier (aufgrund des irreführenden Artikels) nicht bewusst worum es tatsächlich geht. Anscheinend ist ein Produkt ähnlich zu diesem hier gemeint:

Siehe die Kommentare... anscheinend ist bei der angeführten Hülle teilweise die Funktionalität des Fingerabdruckscanners nicht mehr gegeben, man kommt aber auch nicht einfach so hinein. Kein Hersteller kann sämtliche Schutzhüllen durch probieren. Es ist wohl offensichtlich, dass hier ein Hersteller eine ziemlich komische Variante einer Schutzhülle entworfen hat, die in Verbindung mit einem zu nachlässigen Mechanismus beim Anlernen des Fingerabdrucks (nicht beim Entsperren!) zu einem Fehlverhalten bei genau dieser Schutzhülle führen kann. Möglicherweise auch nur bei dieser einen einzigen Schutzhülle, denn es wurde ja laut Artikel nur diese eine Schutzhülle auf 2 verschiedenen Telefonen getestet.
Also ich sags nochmal... ein eher abnormales Verhalten mit einem sehr speziellen Case führt dazu, dass dieses eine Case in Verbindung mit dem Fingerabdruckscanner eine Sicherheitslücke darstellt. Samsung reagiert darauf mit einem Update. Alles ok. Für die eine Person, welche dieses Case eingesetzt hat ist das sicher im ersten Augenblick ein Schock gewesen. Genau so wie es ein Schock für viele Menschen war als ihre Kinder (und einmal sogar eine fremde Person) ihr Smartphone mittels FaceID entsperren konnten weil sie ihnen zu ähnlich sahen.
Ich mag Samsung nicht, aber das hier ist einfach eine falsche Darstellung von Tatsachen, die eine viel gefährlichere Lücke suggerieren soll als sie tatsächlich ist.

Ich bin mir sicher, dass ich mit einigen Versuchen und viel Zeit ein Objekt herstellen kann, das viele gescannten Objekte für FaceID gleich aussehen lässt. Wenn ich dann ein so aussehendes Objekt durch meine Linse (oder was auch immer) hindurch autorisiere ist das ja wohl auch kein Fehler von Apple, sondern maximal eine Anreihung unglücklicher Umstände... welche Apple wohl auch im Nachhinein versuchen wird aus der Welt zu räumen. Aber da von einer Supergau-Sicherheitslücke zu sprechen ist zu weit her geholt.
-1
don.redhorse17.10.19 21:27
unwahrscheinlich das es nur diese eine Hülle betrifft. Meist ist es so das diese Chinahüllen von XYZ Anbietern, auch unter eigenem Namen verkauft werden. Wenn Samsung schon mit einem Update reagieren will, dann muss da mehr dran sein. Ich sage ja nicht das deren in Display Sensor grundsätzlich schlecht ist, aber das Hüllen verwendet werden ist klar und das man diese testen muss sollte auch klar. Interessant wäre ob Samsung darauf hinweiss das es Probleme geben kann wenn man eine Folie aufklebt, bzw. das Ding in nen Ganzkörperkondom packt. Ebenfalls interessant wird es sein wie ein Update einen solchen Fehler beheben soll. Oder erkennt der Sensor dann nur das eine Hülle drüber klebt und man den Sensor dann nicht neu anlernen kann, würde IMHO reichen, dann kann es auch kein Problem mehr geben. Also wie üblich, abwarten.
0
Thorsten Hechtfischer17.10.19 21:49
Der Mist bei Biometrie ist halt dass man sich nicht einfach einen neuen Fingerabdruck machen kann. Wenn die Daten mal in der Welt sind sie das ohne die Chance auf eine Veränderung
+2
tobias.reichert17.10.19 23:17
Peter Longhorn
Lebenderkennung? Bitte um Nennung eines Herstellers, welcher das integriert hat.

Hat einen angebissenen Apfel als Logo.
+1
Philantrop
Philantrop18.10.19 11:42
1. Hier ein Artikel (heise.de) der das Problem gut beschreibt wie von mir erklärt:

2. Auch eine "Lebenderkennung" schlägt mit der verwendeten Hülle positiv an. Hätt wirklich genau so bei nem iPhone passieren können, wenn man deim einlernen eine schlecht Folie auf den Homebutton gegklebt hätte.
+1
ratti
ratti18.10.19 13:04
Wir fassen zusammen: Durch eine PVC-Folie hindurch hat man einen Wurstzipfel als Fingerabdruck. Und irgendwer muss ja Schuld haben, dass es heutzutage so viel Physik gibt!

...lesen Sie morgen hier: Samsung-Nutzer sind unter ihrer Kleidung Exhibitionisten!
-1
Pixelmeister18.10.19 17:21
Mir fehlt hier die Litanei von Links, die das Problem noch größer erscheinen lassen, als es ist. Oder wird das bei Samsung grundsätzlich nicht gemacht, sondern nur bei Apple? Außerdem hat das Problem noch keinen Xyz-Gate-Namen bekommen.

"Bitte benutzen Sie nur Original-Zubehör!" erinnert mich etwas an einen Satz von Steve Jobs. Vor allem werden sich Diebe, Polizei und Zöllner daran halten, auf gar keinen Fall 3-Euro-Hüllen zu verwenden, um das Samsung-Spitzenhandy freizuschalten!

Im Großen und Ganzen überprüft das Handy also nur, ob da ein Finger auf die passende Stelle gehalten wir und ob es sich grob um den Besitzer handeln könnte. Lieber andere auch reinlassen, als auf höhere Sicherheit und Komfort-Verlust zu setzen.

Leute, alles nicht so ernst nehmen. Der Fehler tritt ja nur auf, wenn schon beim Anlernen die Folie auf dem Display ist. Trotzdem natürlich nicht perfekt, was die Sicherheit angeht.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.