BrutePrint: Umgehen des Smartphone-Fingerabdruckschutzes

Der Android-Fingerabdruckschutz ist schließlich nicht so zuverlässig: Er kann auch ohne eine Kopie Ihres Fingerabdrucks geknackt werden.

Die Fingerabdruckerkennung gilt als recht sichere Authentifizierungsmethode. Hin und wieder gibt es Veröffentlichungen zu verschiedenen Möglichkeiten, den Fingerabdrucksensor auszutricksen, aber alle vorgeschlagenen Methoden laufen auf die eine oder andere Weise auf die physische Nachahmung des Fingers des Telefonbesitzers hinaus – sei es mit einem Silikonpad oder einem Ausdruck mit leitfähiger Tinte. Dabei geht es darum, ein qualitativ hochwertiges Bild eines Fingers zu beschaffen – und zwar nicht irgendeines Fingers, sondern des im System registrierten Fingers.

Kurz gesagt, alle diese Methoden sind mit viel Aufwand verbunden. Aber geht es irgendwie eleganter, ohne die rein digitale Welt mit all ihren Vorteilen zu verlassen? Es stellt sich heraus, dass es so ist: Die chinesischen Forscher Yu Chen und Yiling He haben kürzlich eine Studie darüber veröffentlicht, wie man nahezu jedes mit Fingerabdruck geschützte Android-Smartphone durch Brute-Force knacken kann. Sie nannten den Angriff BrutePrint.

Wie einzigartig sind Fingerabdrücke?

Bevor wir uns mit der Arbeit unserer chinesischen Kameraden befassen, kurz ein paar Hintergrundtheorien … Zunächst einmal, und das wissen Sie vielleicht, nämlich Fingerabdrücke sind wirklich einzigartig und verändern sich nie mit dem Alter.

Bereits im Jahr 1892 veröffentlichte der englische Wissenschaftler Sir Francis Galton ein Werk mit dem lakonischen Titel „Finger Prints“. Darin fasste er die damals aktuellen wissenschaftlichen Daten zu Fingerabdrücken zusammen und Galtons Arbeit legte den theoretischen Grundstein für die weitere praktische Nutzung von Fingerabdrücken in der Forensik.

Unter anderem berechnete Sir Francis Galton, dass die Wahrscheinlichkeit einer Fingerabdruck-Übereinstimmung „weniger als 236 oder eins zu etwa vierundsechzig Milliarden“ betrug. An diesem Wert halten Forensiker bis heute fest.

Übrigens, wenn Sie sich für Hardcore-Anatomie oder die biologischen Faktoren hinter der Einzigartigkeit von Fingerabdrücken interessieren, finden Sie hier eine neue Forschungsarbeit zu diesem Thema.

Wie zuverlässig sind Fingerabdrucksensoren?

Die Arbeit von Sir Francis und alles, was daraus hervorgegangen ist, bezieht sich jedoch auf die (warme) analoge Welt und umfasst Dinge wie das Nehmen von Fingerabdrücken, deren Vergleich mit denen, die beispielsweise an einem Tatort hinterlassen wurden, und so ist es. In der (kalten) digitalen Realität sieht es jedoch etwas anders aus. Die Qualität der Darstellung digitaler Fingerabdrücke hängt von mehreren Faktoren ab: der Art des Sensors, seiner Größe und Auflösung und – nicht zuletzt – „Bild“-Nachbearbeitungs- und Abgleichs-Algorithmen.

Vergleich eines digitalen Fingerabdrucks, der von einem optischen Sensor erfasst wurde, mit einer analogen Fingerabdruckkopie.

Fingerabdrücke, wie sie vor 150 Jahren von Sir Francis Galton gesehen wurden (links) und vom optischen Sensor Ihres hochmodernen Smartphones (rechts). Quelle und Quelle.

 

Und natürlich muss der Entwickler das Gerät spottbillig machen (sonst wird es niemand kaufen), eine Authentifizierung in Sekundenbruchteilen erreichen (oder sich von Beschwerden über die langsame Geschwindigkeit überwältigen lassen) und um jeden Preis falsch-negative Ergebnisse vermeiden (oder der Benutzer wird das Ganze insgesamt verwerfen). Das Ergebnis sind nicht sehr genaue Authentifizierungssysteme.

Wenn man sich also auf Sensoren bezieht, die in Smartphones verwendet werden, werden für die Wahrscheinlichkeit, dass Fingerabdruckfragmente übereinstimmen, deutlich weniger optimistische Zahlen genannt als die berühmten 1 zu 64 Milliarden. Beispielsweise schätzt Apple die Wahrscheinlichkeit für Touch ID auf 1 zu 50.000. Es ist also davon auszugehen, dass die Wahrscheinlichkeit bei preisgünstigen Sensormodellen noch um ein oder zwei Größenordnungen schrumpft.

Das bringt uns von Milliarden auf Tausende. Das ist bereits in Reichweite von Brute-Force-Angriff. Der potenzielle Hacker ist also nur noch ein Hindernis von der Beute entfernt: die Begrenzung der Anzahl der Fingerabdruck-Erkennungsversuche. Normalerweise sind nur fünf davon zulässig, gefolgt von einer verlängerten Sperrfrist für die Authentifizierung per Fingerabdruck.

Kann dieses Hindernis überwunden werden? Yu Chen und Yiling He geben in ihrer Studie eine bejahende Antwort darauf.

BrutePrint: Vorbereitung zum Brute-Force-Angriff auf mit Fingerabdruck geschützte Android-Smartphones

Die Methode des Forschers basiert auf einem Fehler in der generischen Implementierung des Fingerabdrucksensors von Android-Smartphones: Keines der getesteten Modelle verschlüsselte den Kommunikationskanal zwischen Sensor und System. Dies eröffnet die Möglichkeit für einen MITM-Angriff auf das Authentifizierungssystem: Mit einem Gerät, das über den SPI-Port des Motherboards mit dem Smartphone verbunden ist, kann man sowohl eingehende Nachrichten vom Fingerabdrucksensor abfangen als auch eigene Nachrichten senden, indem man den Fingerabdrucksensor emuliert.

Die Forscher bauten ein solches Gerät (Pseudosensor) und ergänzten es um ein Gadget zum automatischen Klicken auf den Sensorbildschirm des Smartphones. Daher wurde die Hardwarekomponente so eingerichtet, dass sie im automatischen Modus mehrere Fingerabdruckbilder an Smartphones übermittelt.

Gerät, das für den BrutePrint-Angriff verwendet wird.

Gerät zum Brute-Force-Angriff des Fingerabdruck-Authentifizierungssystems. Quelle.

 

Von dort aus bereiteten sie Fingerabdruckproben für den Brute-Force-Angriff vor. Die Forscher geben die Quelle ihrer Fingerabdruckdatenbank nicht bekannt und beschränken sich auf allgemeine Spekulationen darüber, wie die Angreifer an sie gelangen könnten (Forschungssammlungen, durchgesickerte Daten, eigene Datenbank).

Im nächsten Schritt wurde die Fingerabdruckdatenbank an eine KI übermittelt, um so etwas wie ein Fingerabdruckwörterbuch zu erstellen und so die Brute-Force-Angriff-Leistung zu maximieren. Die Fingerabdruckbilder wurden von der KI an die Bilder angepasst, die von den Sensoren, die in den an der Studie teilnehmenden Smartphones installiert worden war, erzeugt wurden.

Beispiele für Bilder, die von Fingerabdrucksensoren unterschiedlicher Art erzeugt werden

Die von verschiedenen Arten von Fingerabdrucksensoren zurückgegebenen Bilder unterscheiden sich erheblich voneinander. Quelle.

 

Die beiden Schwachstellen im Grunde von BrutePrint: Cancel-After-Match-Fail und Match-After-Lock

Der BrutePrint-Angriff nutzt zwei Schwachstellen aus. Die Forscher entdeckten sie in der Grundlogik des Fingerabdruck-Authentifizierungs-Frameworks, das scheinbar ausnahmslos allen Android-Smartphones beiliegt. Die Schwachstellen wurden „Cancel-After-Match-Fail“ und „Match-After-Lock“ genannt.

Die Cancel-After-Match-Fail-Schwachstelle

Cancel-After-Match-Fail (CAMF) nutzt zwei wichtige Funktionen des Fingerabdruck-Authentifizierungsmechanismus. Die erste ist die Tatsache, dass es auf Multisampling setzt, was bedeutet, dass bei jedem Authentifizierungsversuch nicht nur ein, sondern eine Reihe von zwei bis vier Fingerabdruckbildern (je nach Smartphone-Modell) verwendet werden. Die Zweite ist die Tatsache, dass ein Authentifizierungsversuch nicht nur fehlschlagen, sondern auch zu einem Fehler führen kann – und in diesem Fall erfolgt eine Rückkehr zum Anfang.

Dies ermöglicht das Senden einer Reihe von Bildern, die in einem Frame enden, der vorab bearbeitet wurde, um einen Fehler auszulösen. Wenn also eines der Bilder der Serie eine Übereinstimmung auslöst, findet eine erfolgreiche Authentifizierung statt. Wenn nicht, endet der Zyklus mit einem Fehler, woraufhin eine neue Bildserie übermittelt werden kann, ohne den kostbaren Versuch zu verschwenden.

Schwachstellendiagramm der Cancel-After-Match-Fail-Fingerabdruckauthentifizierungslogik.

So funktioniert Cancel-After-Match-Fail: Fehler bringt Sie zum Ausgangspunkt zurück, ohne einen Versuch zu verschwenden. Quelle.

 

Die Match-After-Lock-Schwachstelle

Die zweite Schwachstelle ist Match-After-Lock (MAL). Die Authentifizierungslogik per Fingerabdruck sieht nach einem fehlgeschlagenen Versuch eine Sperrfrist vor, doch viele Smartphone-Anbieter implementieren diese Funktion nicht korrekt in ihren Android-Versionen. Auch wenn eine erfolgreiche Fingerabdruck-Authentifizierung im Sperrmodus nicht möglich ist, kann man dennoch immer mehr neue Bilder einreichen, auf die das System immer noch mit einer ehrlichen „wahr“ oder „falsch“-Antwort antwortet. Das heißt, sobald Sie das richtige Bild erkannt haben, können Sie es verwenden, sobald die Systemsperre aufgehoben ist, und so eine erfolgreiche Authentifizierung abschließen.

Angriffe, die Cancel-After-Match-Fail und Match-After-Lock ausnutzen

Der Angriff, der die erste Schwachstelle ausnutzte, war bei allen getesteten Smartphones mit echtem Android an Bord erfolgreich, funktionierte jedoch aus irgendeinem Grund nicht mit HarmonyOS. Match-After-Lock wurde auf vivo- und Xiaomi-Smartphones sowie auf beiden Huawei-Smartphones mit HarmonyOS ausgenutzt.

Tabelle der Anfälligkeit verschiedener Smartphones für Cancel-After-Match-Fail und Match-After-Lock.

Alle getesteten Smartphones erwiesen sich als anfällig für mindestens einen Angriff. Quelle.

 

Alle an der Studie teilnehmenden Android- und HarmonyOS-Smartphones erwiesen sich als anfällig für mindestens einen der beschriebenen Angriffe. Dies bedeutet, dass alle eine unbegrenzte Anzahl böswilliger Authentifizierungsversuche per Fingerabdruck zuließen.

Der Studie zufolge dauerte das Hacken eines Android-Smartphone-Authentifizierungssystems mit nur einem registrierten Fingerabdruck zwischen 2,9 und 13,9 Stunden. Bei Smartphones mit der maximal möglichen Anzahl registrierter Fingerabdrücke für ein bestimmtes Modell (vier bei Samsung, fünf bei allen anderen) verkürzte sich die Zeit jedoch erheblich: Das Hacken dauerte zwischen 0,66 und 2,78 Stunden.

Smartphone-Hack-Zeit mit BrutePrint.

Wahrscheinlichkeit eines erfolgreichen BrutePrint-Angriffs in Abhängigkeit von der aufgewendeten Zeit: ein registrierter Fingerabdruck (durchgezogene Linie) und maximale Anzahl registrierter Fingerabdrücke (gestrichelte Linie) Quelle.

 

Was ist mit iPhones?

Das in iPhones verwendete Touch ID-System erwies sich als resistenter gegenüber BrutePrint. Der Hauptvorteil des iPhones liegt der Studie zufolge darin, dass die Kommunikation zwischen dem Fingerabdrucksensor und dem Rest des Systems verschlüsselt ist. Es gibt also keine Möglichkeit, auf einem mit Touch ID ausgestatteten Gerät einen vorbereiteten Fingerabdruck abzufangen oder dem System zuzuführen.

Die Studie weist darauf hin, dass iPhones teilweise anfällig für Manipulationen sein können, mit denen die Anzahl möglicher Fingerabdruckerkennungsversuche maximiert werden soll. Allerdings ist es nicht so schlimm, wie es sich anhört: Während bei Android-Smartphones die Party ewig andauern kann, lässt sich die Anzahl der Versuche bei iPhones nur von 5 auf 15 erhöhen.

Die iOS-Nutzer können also ruhig schlafen: Touch ID ist deutlich zuverlässiger als die Fingerabdruck-Authentifizierung, die sowohl bei Android als auch bei HarmonyOS zum Einsatz kommt. Hinzu kommt, dass heutzutage ohnehin die meisten iPhone-Modelle Face ID verwenden.

Wie gefährlich ist das alles?

Auch Besitzer von Android-Smartphones sollten sich vor BrutePrint keine allzu großen Sorgen machen – in der Praxis stellt der Angriff kaum eine große Bedrohung dar. Dafür gibt es verschiedene Gründe:

  • BrutePrint erfordert physischen Zugriff auf das Gerät. Allein dieser Faktor verringert die Wahrscheinlichkeit, dass Ihnen so etwas passiert, erheblich.
  • Um den Angriff abzuwehren, muss außerdem das Gerät geöffnet und ein bestimmter Anschluss auf der Hauptplatine verwendet werden. Ohne das Wissen des Eigentümers ist dies kaum einfach.
  • Selbst im besten Fall wird der Angriff eine beträchtliche Zeit in Anspruch nehmen – gemessen in Stunden.
  • Und natürlich erfordert BrutePrint eine besondere Einrichtung – sowohl in Bezug auf Hardware als auch Software – einschließlich benutzerdefinierter Ausrüstung, einer Fingerabdruckdatenbank und geschulter KI.

Zusammengenommen machen diese Faktoren es äußerst unwahrscheinlich, dass ein solcher Angriff im wirklichen Leben eingesetzt werden könnte – es sei denn, einige unternehmerisch denkende Leute entwickeln auf der Grundlage der Studie ein benutzerfreundliches kommerzielles Produkt.

Schutz von Android-Smartphones vor Brute-Force-Angriffen per Fingerabdruck

Wenn Sie dennoch glauben, Opfer eines solchen Angriffs zu werden, finden Sie hier einige Tipps, wie Sie sich schützen können:

  • Registrieren Sie möglichst wenige Fingerabdrücke (idealerweise nur einen). Je mehr Finger Sie zur Authentifizierung verwenden, desto anfälliger wird das System für die beschriebene Taktik und andere Angriffe.
  • Vergessen Sie nicht, für Apps, die über diese Option verfügen, einen zusätzlichen PIN- oder Passwortschutz zu verwenden.
  • Übrigens ermöglicht die AppLock-Funktion, die in der kostenpflichtigen Version von Kaspersky für Android verfügbar ist, die Verwendung separater Passwörter für jede Ihrer Apps.
Tipps