Kaum ist das neue iphone 5S auf dem Markt und schon ist es in aller Munde. Das kann uns ja nicht wirklich überraschen. Was überrascht ist, dass der neue Fingerabdruckscanner Touch ID bereits gehackt wurde, obwohl das iphone 5S z.Z. noch gar nicht „richtig“ im Markt ist. Nun, der Chaos Computer Club (CCC) hat es geschafft und konnte es nicht lassen, einige kritische Anmerkungen dazuzugeben.

Wie es der CCC geschafft hat, die Touch ID, also das Aufheben der Sicherheitssperre zu überlisten, findet man im Beitrag des CCC:

Chaos Computer Club hackt Apple TouchID

Das Erstellen eines „künstlichen Fingers“ reicht also aus.

Den Experts4Handys stand das neue 5S bisher noch nicht zur Verfügung. Deshalb können wir den Vorgang z.Z. nur „theoretisch“ nachvollziehen. Andere Hersteller werden sicher bald nachziehen und deshalb ist das Thema für uns natürlich auch auch Sicht der Mobilen IT-Forensik von veritablem Interesse. Das Thema Biometrie wird ohnehin weiter an Bedeutung zunehmen.

Dazu muss man zunächst wissen, dass ca. 50 % aller Nutzer die Sicherheitssperre des Smartphones aus reiner Bequemlichkeit nicht setzen. Sie sind zu faul, jedesmal erst das Passwort einzugeben, um mit dem Smartphone arbeiten zu können. Das ist fahrlässig, denn wehe, wenn das Smartphone in falsche Hände gerät. Ein Fingerabdruckscanner ist da sicher eine gute Alternative, obwohl lange bekannt ist, dass biometrische Merkmale bis heute nicht die gleiche Sicherheitsstufe aufweisen, wie Passwortsperren, die ja übrigens nach wie vor gesetzt werden können.

Für uns als Forensiker wird da sicher noch einiges zu erwarten sein: Wir können einzelne Smartphones nicht physikalisch auswerten, wenn es nicht bestimmte Voraussetzungen erfüllt, wie z.B. USB-Debugging, und dazu muss die Sperre i.d.R. aufgehoben werden. Mitunter können wir das auch über Brute-Force-Attacken erreichen, die einfachste Möglichkeit ist allerdings, man erfährt dass Passwort auf herkömmlichem Wege. Kommt jetzt die Biometrie ins Spiel, wird die Sache künftig noch komplizierter, denn die Situation ist ja meist nicht so, wie vom CCC konstruiert, soll heißen, so ohne weiteres kommt man an den erforderlchen Fingerabdruck nicht herhan, da beißt die Maus keinen Faden ab.

Zitat aus dem CCC-Artikel:

„iPhone-Benutzer sollten vermeiden, sensible Daten mit ihrem Fingerabdruck zu sichern. Dabei geht es nicht nur darum, daß der Fingerabdruck so leicht gefälscht werden kann. Auch kann man sehr leicht dazu gezwungen werden, sein Telefon zu entsperren, wenn man festgenommen wird. Einen Menschen dazu zu zwingen, ein sicheres Paßwort preiszugeben, ist dagegen um einiges schwieriger als einfach das Telefon vor seine Hände in Handschellen zu halten.“

Das sehen wir nicht so. Ein Smartphone ist kein Goldschatz, die Daten sind schützenswert, verfügen jedoch zumindest im privaten Umfeld nicht über die gleiche Schutzklasse, wie z.B. sensible Unternehmensdaten. Diese gehören eh nicht auf ein mobiles Endgerät und wenn, dann nur hoch verschlüsselt. Das Setzen der Sperre per Fingerabdruck ist also sicher besser, als gar keine zu setzen. Kreti und Pleti können die Sperre kaum aufheben und auch Profis müssen sich erst einmal den Fingerabdruck besorgen, was wie gesagt, ganz so einfach nicht ist.

Falls man festgenommen wird, kann man nicht nur dazu gezwungen werden, seinen Finger herzugeben, um die Sperre aufzuheben, man kann auch die Herausgabe eines Passwortes erzwingen. Gewalt war immer schon ein probates Mittel, um am Informationen zu kommen. Das ändert sich durch die Biometrie sicher nicht.

Wir schließen uns dem CCC allerdings dahingehend an, dass der Hype um die Biometrie nicht gerechtfertigt ist. Als Sicherheitsstandard ist sie bisher wenig geeignet. Sie wird in der Tat eher dahingehend genutzt, Menschen zu überwachen und zu kontrollieren, ganz so wie vom CCC beschrieben. Dahingehend wird auf uns als Forensiker sicher noch einiges zukommen. Die Idee des Fingerabdruckscanners ist aber sicher nicht schlecht, denn bequemer ist es schon und der Sicherheitsstandard ist für Privatanwender ausreichend und kann möglicherwiese auch noch verbessert werden.

Das neue iphone 5S hat mit der Touch ID nunmehr ein neues Kapitel aufgeschlagen: Nicht nur in der Mobliltelefonie allgemein, sondern auch in der Mobilen IT-Forensik im Speziellen. Wir dürfen gespannt sein, was da noch kommt …

Kommentare geschlossen.