Galaxy S5 und HTC One Max: Fingerabdrücke nicht sicher

Ein Bericht der Sicherheitsfirma FireEye Labs lässt aufhorchen: Laut einer Untersuchung wurde das Erfassen von Fingerabdrücken in einigen Android-Modellen sehr lausig umgesetzt. Die Rede ist etwa von dem nun zwei Jahre alten HTC One Max, das Fingerabdrücke standardmässig unverschlüsselt speichert. Dieses legt die biometrischen Daten als Bitmap-Datei in einem Ordner des Telefonspeichers ab, der auch nicht besondere Zugriffsrechte erfordert. Das heisst: Auch andere Apps hätten theoretisch die Möglichkeit, diesen digitalen Abdruck auszulesen.

Damit nicht genug: Die Experten fanden heraus, dass HTC nicht der einzige Hersteller ist, der seine Anwender einer derartigen Gefahr aussetzt. Ähnliche Sicherheitslücken weise auch das Samsung Galaxy S5 auf. Auch dort sei der Fingerabdruck nicht ausreichend gesichert, sodass theoretisch Apps ebenfalls Zugriff auf das lebenslange Erkennungsmerkmal erlangen könnten. Weitere Modelle will FireEye Labs im Bericht nicht nennen. Die Schwachstelle sei aber in vielen Android-Smartphones denkbar. HTC hat kurz darauf reagiert und laut «The Verge» in allen Regionen mit einem Sicherheits-Update nachgezogen. Samsung hat sich bislang noch nicht geäussert. 

Als wesentlich sicherer eingestuft wurden Apples iPad und iPhones. Apple verschlüssele die Fingerabdruckdaten direkt nach der Erfassung, hält die Black-Hat-Forscher Zhang gegenüber «ZDnet» fest. «Selbst wenn ein Angreifer Zugriff auf den Fingerabdrucksensor hat, kann er kein Abbild des Fingerabdrucks erstellen, solange er nicht den Schlüssel hat, mit dem dieser gesichert ist.» Das Bedrohungsszenario sei aber nicht nur auf Smartphones beschränkt. So wäre auch auf Laptops mit Fingerabdruckscannern das Abfangen von biometrischen Daten theoretisch möglich, weil die dazu erforderlichen Treiber oft nicht im Kernel-Modus laufen. 

Es bleibt indes abzuwarten, nach welchem Sicherheitsprinzip Android M künftig die Fingerabdruckscanner implementiert. Die Forscher raten allgemein davon ab, Geräte, die zur biometrischen Authentifizierung genutzt werden, zu rooten oder Jailbreaks darauf laufen zu lassen. Generell lautet die Devise der Experten, möglichst zur Biometrie nur Geräte zu verwenden, die auch stets die neusten Hersteller-Updates erhalten.

Die Experten von FireEye warnen bereits davor, dass Fingerabdruckscanner bis 2019 weitverbreitet sein werden. Wird ein Fingerabdruck gestohlen, wären auch Ausweise und weitere Identifikationsmethoden betroffen.