+43 2236 380183 mail@lumasi.at

Wie sicher ist ein Fingerprint wirklich?

In einem Youtube-Video des Comedians Curtis Lepore wird gezeigt ,wie seine Freundin auf “Mission Impossible”-Art sein Handy hackt, um seine Nachrichten lesen und ihn ausspionieren zu können.

Geht das wirklich so einfach?! Natürlich wollten wir diesem Thema auf den Grund gehen und haben es getestet.

Hier geht es zum Video (klicke auf das Bild) Quelle: http://bit.ly/2q5yGEF.

Von der Anleitung zur Umsetzung

Meine Recherchen führten mich quer durchs WWW. Dort stieß ich als erstes auf einen Artikel, in dem der Fingerabdruck eines Toten aus einer Datenbank mit einem herkömmlichen Tintenstrahldrucker ausgedruckt wurde. Quelle: http://bit.ly/2pBTxwL

Da ich allerdings keinen Zugriff auf die Fingerabdrücke meiner Kollegen habe (zumindest nicht ohne auffällig zu werden), suchte ich weiter und fand dutzende weitere Lösungen, die zwar funktionieren, jedoch einen bereits vorhandenen Fingerabdruck benötigen.

Ich suchte nach einer Möglichkeit mit einfachen Produkten, die man zu Hause hat, einen Fingerabdruck zu fälschen und probierte so ziemlich alles Brauchbare aus, was ich in meiner Tasche, in der Küche oder in der Schreibtischlade finden konnte.

Angefangen von der Klebeband-Technik, dem Lippenstift Abdruck bis hin zu Magnesium als Puderersatz, habe ich alles versucht… doch funktioniert hat es NICHT.

Nun gab es noch die Möglichkeit mit flüssigem Wachs den Fingerabdruck zu formen und mit Latex auszuhärten, doch auch das würde wieder bedeuten, dass man den Fingerabdruck der anderen Person bekommt… und darüber hinaus flüssiges Latex im Schreibtisch liegen hat. (Anmerkung am Rande: Nein, hab ich auch nicht!)

Ich suchte weiter und entdeckte den Vortrag des Star-Hackers Jan Krissler alias “Starbug” auf dem 31. Chaos Communication Congress (31C3), indem er von mehreren Methoden berichtet, wie man einen Fingerabdruck kopieren oder einen Augenscan mittels Fotos hacken kann.

Jan Kissler bei dem 31. Chaos Commuication Congress Bild: Screenshot Quelle: https://youtu.be/YE1EoxKV53w

Den Abdruck eines Fingers durch ein Foto zu stehlen, erschien mir im ersten Moment noch die einfachste Methode und so begab ich mich auf die Facebook Seite meiner Kollegen und durchforste ihre Fotos nach Bildern, auf denen man ihre Finger sieht.

Leider hatte ich jedoch damit keinen Erfolg, da im Gegensatz zu den Beispielen in Starbugs Vortrag über ,,Gefahren von Kameras für (biometrische) Authentifizierungsverfahren”, hochauflösende Bilder von Politiker angewandt wurden, mit denen einfache Handyfotos auf den Social Plattformen nicht mithalten können.

Ich versuchte daher die zweite Möglichkeit, die der Spezialist in seiner Präsentation vorstellte: Scannen von Handys, um hier an den Fingerabdruck zu gelangen

Ein kurzes „Borg mir doch Bitte mal schnell dein Handy für ein Foto“, reichte aus, um legal an das Smartphone meiner Kollegin zu kommen und schon legte ich es in den Scanner um es auszuprobieren.

Der Scan hat funktioniert und man erkannte sogar einen Fingerabdruck, jedoch ließ er sich nicht brauchbar in ein Fotobearbeitungsprogramm konvertieren und verändern. Auch ein zweiter Versuch mit einem Scanner, der eine bessere Auflösung hat, brachte keinen Erfolg.

Eine weitere Technik soll mit Sekundenkleber funktionieren. Hier kann man durch die Dämpfe des Klebers einen Fingerabdruck auf einem Glas sichtbar machen, diesen dann mit einer guten Kamera abfotografieren und “TADAAA!”, man hat den Fingerabdruck.

Bevor ich das versuchte, fiel mir jedoch auf, dass ich beim Trinken nie den Daumen flach (wie beim Handy entsperren), am Glas aufliegen habe. Der Zeigefinger liegt hier wesentlich besser am Glas und käme daher für einen Hack eher in Frage.

Im selben Moment, kam mir jedoch dann die Offenbarung, dass man ohnehin mit einer reinen Fotografie alleine niemals etwas entsperren könnte und ließ die Gläser der Firma erstmal in Ruhe ;)

Aufgeben oder weiterkämpfen?

Nach einiger Zeit, war es kein Geheimnis mehr was ich vor hatte. 

Meine Kollegen sind einfach zu schlau und hatten meinen Plan durchschaut. Dazu hatte ich es ohnehin aufgegeben, das Handy meiner Kollegin zu hacken, da ich nicht direkt (ohne zu fragen) an ihren Fingerabdruck gekommen wäre und mit einer Fotografie alleine nicht viel anfangen konnte.

Im Team beschlossen wir, nicht aufzugeben und es weiterhin zu versuchen einen Fingerabdruck physisch zu erstellen und damit ein Smartphone zu hacken.

Zuerst versuchte ich es mit Plastilin und Holzleim. Anfangs klappte alles wunderbar. Das Plastilin war schön weich und den Finger darin abzudrücken funktionierte tadellos. Auch der Leim rinnte wunderbar in die Einkerbungen des Abdruckes. Durch das weiche Material entstand auch eine schöne Rundung des Fingers. Ich war guter Dinge!

Doch dann kam die Ernüchterung und ich musste erkennen, dass ich dank des Leimes zwar ein Abbild meines Fingerabdrucks hatte… dieser aber von meinem iPhone 7 nicht erkannt wird.

Liegt es an dem neu überholten Sicherheitssystem der neuen iPhone Generation (nachdem die Vorgänger mit diesen Tricks eben so einfach zu hacken waren), oder hatte ich etwas falsch gemacht? War es vielleicht das Plastilin, welches im Abdruck aus Leim hängen blieb und so meinen Fingerabdruck verfälschte?

Ich recherchierte erneut im Internet und fand eine Variante, bei der man statt dem Plastilin Heißklebepistolenkleber benutzen kann.

Also versuchte ich es erneut und fügte mir einige Verbrennungen zu, denn den idealen Zeitpunkt zu wählen wann man den Finger in den Kleber drücken sollte, war hier von großer Bedeutung! Zu früh hieß, dass man sich verbrennt und zu spät, dass der Klebstoff bereits ausgehärtet ist. Nach einigen Versuchen bekam ich dann aber auch ohne Verbrennungen wunderschöne Abdrücke hin. Danach leerte ich wieder den Holzleim in die Kerbe und wartete ab.

Ich wartete und wartete und wartete… aber der Leim trocknete zu langsam. Ich beschloss, ihn über die Nacht stehen zu lassen.

Als ich am nächsten Morgen das Büro betrat, erwartete mich eine unangenehme Überraschung. Der Leim war jetzt trocken… aber leider so gut ausgehärtet, dass man ihn von dem unteren durchsichtigen Bastelkleber nicht mehr entfernen konnte.

,,Verflixt” dachte ich (oder so…) und durchstöberte erneut das Internet. Hier fand ich dann wiederum ein Video, in dem ein Bastelkleber ähnlich der Struktur von Holzleim verwendet wurde.

Ich beschloss das Thema jedoch ruhen zu lassen, da mein Schreibtisch mittlerweile wie in der Forschungsabteilung eines Kleber-Herstellers aussah und kam zu dem…

…Resümee;

Ja! Es funktioniert tatsächlich einen Fingerabdruck zu fälschen. Man kann einen schönen Abdruck sowohl durch Plastilin, als auch durch Kleber herstellen. Ich bin mir auch sicher, dass die Techniken auf den Videos funktionieren.

Man benötigt hierfür lediglich Utensilien, welche man zumindest nicht in einer normalen Schreibtischschublade findet. Wie zum Beispiel speziellen Kleber, flüssiges Latex, oder einer ,,fotosensitiven Leiterplatte” (Bei 32:09)

Wer so etwas jedoch tatsächlich stets griffbereit ins einer Nähe lagert, darf mich gerne für einen weiteren Test zu sich einladen :-)