Partner von

“Fingerabdruck von einer Tischplatte abnehmen und kopieren”

Das Team um Anil Jain hat ein Smartphone entsperrt – mit einem ausgedruckten Fingerabdruck.
Interview: Franziska Schwarz
  • fingerabdruck smartphone
    Illustration Jessy Asmus

Die Meldung im Juli klang skurril, weil man es sich sofort bildlich vorstellt: Die Polizei im US-Bundesstaat Michigan ermittelt in einem Mordfall, sie vermutet Hinweise im Smartphone des Opfers, nur leider ist eben das mit einer Fingerabdruck-Erkennung gesperrt – deshalb sollte ein nachgebauter Finger des Toten her. Aus dem 3D-Drucker. Die Polizei wandte sich in dem Mordfall an den Computerwissenschaftler Anil Jain. Er und sein Team forschen an der Michigan State University zum Feld der Biometrie. Zum Beispiel arbeiten sie an einem Algorithmus, der Ähnlichkeiten zwischen Gesichtern erkennt oder testen, welche  Fingerabdruck-Merkmale sich für die Automation eignen. 

jetzt: Hat es geklappt, die Telefonsperre mit dem gefakten Finger aufzuheben?

Anil Jain: Ja! Wir freuen uns, hatten dabei aber auch einfach Glück: Das Handy war nur durch den Fingerabdruck gesperrt, und nicht noch zusätzlich durch einen Pin. Deshalb konnten wir etliche Anläufe nehmen.

 

Wer hatte denn die Idee dazu – Ihr Team oder die Polizei von Michigan?

Die Polizei hat uns kontaktiert, weil wir bereits im Februar auf Youtube darüber informiert habenn, dass die Möglichkeit besteht, Handys so zu hacken. Alles, was man braucht, sind ein gewöhnlicher Drucker, spezielles Fotopapier und eine bestimmte Tinte. Dann kann man einen Fingerabdruck kopieren und versuchen, damit ein Telefon aufzusperren.

Ein normaler Drucker oder ein 3-D-Drucker?

Wir haben beides ausprobiert. Am Ende hat das Ganze sogar mit einem normalen Drucker funktioniert, nämlich, als wir ein Fingerabdruck-Bild von besserer Qualität hatten. Das Bild hatte uns die Polizei von Michigan gegeben.

 

Wie viel kostet so ein gefakter Fingerabdruck?

Die Kosten für den Drucker dürften unter 200 Dollar liegen. Die Tinte ist das Teuerste an dem Ganzen, etwa 300 Dollar. Aber man kann mit ihr Hunderte Fingerabdrücke drucken.

 

Wie kommt man denn auf die Idee, Fingerabdrücke auszudrucken?

Wir forschen an der Michigan State University daran, wie man Fingerabdruck- und Gesichtserkennung verbessern kann. Und beschäftigen uns damit, wie anfällig diese Technologien sind. Schließlich soll biometrische Erkennung unseren Alltag sicherer machen. Führerscheine, Personalausweise oder Reisepässe kann man kopieren und abändern. Ein Reisender kann also einen Pass vorzeigen, der gar nicht zu ihm gehört.

 

Sie meinen jetzt aber die klassischen Lappen, die ohne biometrische Merkmale?

Ja, die. Der biometrische Ansatz wird von vielen als sicherer eingestuft – und als bequemer. Passwörter und Pins reichen oft nicht aus: Viele Menschen entscheiden sich nämlich immer noch für etwas ganz Einfaches wie "1234". Biometrische Daten haben Smartphones sicherer gemacht. Die Technologie hat aber auch Schwächen: Die Daten werden registriert und irgendwo aufbewahrt – etwa wenn eine Bank am Geldautomaten Ihre Regenbogenhaut scannen will. Dann können Hacker versuchen, die Daten zu stehlen, ähnlich wie bei Adresse, Geburtsdatum oder Sozialversicherungsnummer.

 

Gab es solche Fälle schon?

Ja, zum Beispiel beim Amt für Personalverwaltung der Vereinigten Staaten (OPM). Wenn die US-Regierung jemanden einstellt, nimmt sie einen Fingerabdruck von der Person, um eine eventuelle kriminelle Vergangenheit prüfen zu können. Diese Behörde hat also die Fingeradrücke ziemlich vieler Menschen – und irgendwie haben sie einmal Millionen davon verloren! Wenn biometrische Daten in einer zentralen Datenbank liegen, besteht immer die Gefahr, dass sie gestohlen werden. Im Prinzip kann jedes digitale Gerät gehackt werden. Dennoch: Ich halte Smartphones mit Fingerabdruck-Erkennung generell für eine super Sache – nämlich, weil die Daten in dem Gerät auf einem Chip gespeichert werden. Und das Gerät hat man fast immer bei sich. Einen Diebstahl macht das schwieriger. Aber mit einem gefakten Fingerabdruck könnte man es versuchen

Kann auch ein Laie wie ich mithilfe eines Druckers kriminell werden?

Nun ja, mal angenommen, Sie nehmen meinen Fingerabdruck von einer Tischplatte oder einem Handyscreen ab und kopieren ihn. Oder, Sie sprechen sich heimlich mit mir ab: Sie geben mir Ihren Fingerabdruck und ich breche in Ihr Bankkonto ein. Hinterher tun Sie dann so, als wüssten Sie von nichts.

 

Bringen Sie dann die Menschen mit ihrem Youtube-Video nicht auf dumme Ideen?

Solange man auf Schwachstellen nicht hinweist, können sie nicht behoben werden. Kriminelle Hacker dagegen werden Schwachstellen für sich behalten.

 

Sind Sie seit dem Experiment mit dem aufgesperrten Telefon in Kontakt mit dem Hersteller?  

Nein. Die arbeiten sicher schon längst an der Sicherheitslücke. Was sie jetzt tun sollten, ist, denke ich: Dafür sorgen, dass ihre Technik den Unterschied zwischen einem lebenden und einem gedruckten Finger erkennt. Wir brauchen generell bessere Sicherheit gegen Fakes. Das gilt auch für die Gesichtserkennung. Da kann man die Systeme theoretisch auch austricksen – mit einem Foto oder einer Videoaufnahme eines Gesichts. Allerdings muss ich auch sagen, dass die Hersteller sich ständig um bessere Technik bemühen.

 

Sie haben der Polizei von Michigan in diesem Mordfall geholfen. Wechseln Sie jetzt ins Kriminalderzernat?

Nein, das war nur dieser eine Fall. Wir taten es, weil es eine lokale Polizeibehörde war, und wir neugierig waren, ob unsere Idee funktionieren würde – und wir wollten damit nur auf das Problem aufmerksam machen. Wir haben aber danach tatsächlich noch einen Anruf von einer zweiten Polizeibehörde bekommen. Auch die wollte ein Smartphone aufsperren. Wir konnten ihnen aber nicht helfen, weil das Telefon nicht nur einen Fingerabdruck, sondern noch ein Passwort verlangt hat.

 

 

Weiteres zum Thema Hacking gibt es hier:

Zur Startseite

Die besten Geschichten von jetzt -

täglichen Newsletter bestellen

oder auf WhatsApp abonnieren