Smartphone-Sicherheit Künstlicher Fingerabdruck dient als Generalschlüssel

Mit künstlich generierten Fingerabdrücken lassen sich Fingerabdrucksensoren mit einer erstaunlichen Erfolgsrate überlisten, fanden Forscher nun heraus.

Fingerabdrucksensoren sind die am meisten genutzte biometrische Sicherungsart auf Smartphones und auch in immer mehr Laptops verbautet. Nach allgemeiner Auffassung verbinden sie Komfort mit einem hohen Mass an Sicherheit. Doch mit Hilfe von Künstlicher Intelligenz erstellte synthetische Fingerabdrücke könnten genutzt werden, um diese relativ zuverlässig zu überlisten.

Wie das funktionieren könnte, haben Wissenschaftler der Tandon School of Engineering der New York University nun in einem Forschungspapier beschrieben, über das heise.de berichtet. Sie nutzen dabei eine Methode namens DeepMasterPrints.

Künstliche Fingerabdrücke sind nichts neues

Diese DeepMasterPrint sind eine Weiterentwicklung von MasterPrints, die schon eine Weile in der Sicherheitsforschung besprochen werden. MasterPrints sind zufällig von Computern generierte Fingerabdrücke, die den menschlichen nachempfunden sind.

Eingesetzt werden sie dann wie Wörterbuchangriffe bei Passwörtern, bei denen Hacker einfach so lange Wort- und Nummerkombinationen ausprobieren, bis sie auf das richtige Passwort stossen. Ein Fingerabdrucksensor wird also analog so lange mit Fingerabdrücken bombardiert, bis sich das Gerät entsperrt. Dabei hilft es, dass die meisten Fingerabdruckscanner nur einen Teil des Finger bei ihrer Analyse in Betracht ziehen und eine gewisse Fehlertoleranz gestatten, um zu viel Nutzerfrustration zu vermeiden.

Dennoch ist diese Angriffsart eher theoretisch, denn die meisten Smartphones verlangen nach einer Reihe von fehlgeschlagenen Entsperrversuchen per Fingerabdruck — bei Touch ID auf iPhones sind es etwa fünf — die Eingabe eines Codes.

Fingerabdrücke werden per KI erzeugt

Bei den DeepMasterPrints jedoch haben die Forscher ein Künstliche Intelligenz-Software zehntausende Fingerabdrücke von echten Menschen in einer öffentlich zugänglichen Datenbank analysieren lassen. Dabei achtete die Software auf häufig wiederkehrende Strukturen in den realen Fingerabdrücken und erzeugte dann die künstlichen Fingerabdrücke auf dieser Grundlage.

Die DeepMasterPrints hatten dadurch eine zehn- bis dreissigfach höhere Erfolgsrate als die rein zufällig erzeugten MasterPrints. Bei Tests mit Fingerabdrucksensoren mit einer Fehlertoleranz von 0,1 % — laut der Forscher eine übliche Rate bei aktuell eingesetzten System — gelang es in 22,5% aller Versuche, das Sicherheitssystem zu überwinden. Mit dieser Erfolgsrate sind dann auch Attacken gegen Fingerabdrucksensoren in der Praxis vorstellbar.