{"id":2819,"date":"2013-09-09T18:05:44","date_gmt":"2013-09-09T17:05:44","guid":{"rendered":"http:\/\/www.thetawelle.de\/?p=2819"},"modified":"2020-08-21T16:22:18","modified_gmt":"2020-08-21T15:22:18","slug":"fingerabdruckscanner-in-neuem-iphone","status":"publish","type":"post","link":"https:\/\/www.thetawelle.de\/?p=2819","title":{"rendered":"Fingerabdruckscanner in neuem iPhone?"},"content":{"rendered":"<p><a href=\"\/wp-upload\/ein_ring_sie_zu_knechten.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"2828\"  src=\"\/wp-upload\/ein_ring_sie_zu_knechten.png\" alt=\"Quelle: http:\/\/www.martinhajek.com\" width=\"250\" height=\"264\" class=\"alignright size-full wp-image-2828\" \/><\/a>Die Ger\u00fcchte verdichten sich so langsam zu dem einhelligen \u00dcbereinkommen verschiedener Apple Gazetten, dass Apple wohl ein neues Modell des <strong>iPhone mit einem eingebauten Fingerabdrucksensor<\/strong> vorstellen wird.<\/p>\n<p>Das wird den Nutzer noch sicherer <strong>identifizierbar<\/strong> machen. Denn nichts anderes verfolgt der Ansatz <strong>biometrische Merkmale<\/strong> zu erfassen. Was also bereits bei unserem <a href=\"http:\/\/www.bundesdruckerei.de\/de\/1548-neuer-personalausweis\">neuen Personalausweis<\/a> massive Kritik geerntet hat (und nun freiwillig ist), kommt jetzt (h\u00f6chstwahrscheinlich) ins iPhone.<\/p>\n<p><center><a href=\"\/wp-upload\/fingerprint_big.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"2820\"  src=\"\/wp-upload\/fingerprint.png\" width=\"550\" height=\"289\" class=\"aligncenter size-full wp-image-2820\" \/><\/a><br \/>\n<small><strong>Quelle:<\/strong> Eigene Anfertigung<\/small><\/center><\/p>\n<p>Wenn das passieren sollte, sollte jedem Nutzer eines klar sein, sobald die Daten des Fingerabdrucks sein Ger\u00e4t verlassen, ist das Ger\u00e4t unsicher. Da sich auch auf der gesamten \u00e4u\u00dferen H\u00fclle des Ger\u00e4tes die Fingerabdr\u00fccke befinden und man diese <a href=\"http:\/\/www.youtube.com\/watch?v=OPtzRQNHzl0\">sehr einfach nachmachen<\/a> \u2013 wie im <a href=\"http:\/\/media.ccc.de\/browse\/chaostv\/ccc-fingerabdruck.html\">CCC TV beschrieben<\/a> \u2013 (<a href=\"\/wp-upload\/CCC_Anleitung_DIY_Fingerabdruck.mp4\">Depublizierungsschutz<\/a>) kann, ist das Ger\u00e4t damit nicht sicherer, sondern im Gegenteil unsicherer.<\/p>\n<p>Es kommt hinzu, dass man einen Fingerabdruck der kompromittiert ist (dessen Daten also weggekommen sind) f\u00fcr immer abschreiben kann. <strong>Man hat aber leider nur zehn Finger.<\/strong> Ein Passwort das geklaut\/kompomittiert wurde kann ich ersetzen, meine Finger leider nicht.<\/p>\n<p>Den einzigen \u00fcberhaupt f\u00fcr mich akzeptablen\/vorstellbaren Weg wie man Fingerabdr\u00fccke meiner Meinung nach nutzen k\u00f6nnte habe ich daher oben einmal skizziert. Der entscheidende Punkt an der Skizze ist, dass die Fingerabdruckdaten niemals das Ger\u00e4t verlassen d\u00fcrfen. Da der Nutzer das aber nicht transparent kontrollieren kann, f\u00e4llt diese L\u00f6sungsskizze leider auch unter den Tisch.<\/p>\n<p><strong>Update 11.9.2013<\/strong><br \/>\nNun ja, die Ger\u00fcchte waren offenbar wahr. In dem Vorstellungsvideo zu der Technologie wird an einer Stelle eine Ecke des Integrierten Chip gezeigt und eingekreist und behauptet, darin sei der Fingerabdruck sicher verschlossen und verschl\u00fcsselt gespeichert und w\u00fcrde niemals das Ger\u00e4t verlassen.<\/p>\n<p>Das kann sogar sein. Pr\u00fcfen kann man es selbst nicht, man muss es also glauben. So wie man auch Wahlcomputern glauben muss, dass sie richtig Stimmen z\u00e4hlen. Nat\u00fcrlich ist es gut, wenn diese Daten das Ger\u00e4t nie verlassen, aber das ist auch gar nicht der entscheidende Punkt. Denn was mich als Geheimdienst z.B. interessiert ist ja lediglich Folgendes: Wann wurde das iPhone zuletzt mittels Fingerprint UNLOCKED, zu diesem Zeitpunkt ist die Zielperson verifiziert an ihrem Ger\u00e4t, welches verifiziert per GPS\/Funkzelle an einem bestimmten Ort ist. <\/p>\n<p>Damit f\u00e4llt die bisherige Unsicherheit weg, dass man immer nur wusste wo sich das GER\u00c4T aufh\u00e4lt, aber nie wirklich sicher, ob auch die zugeh\u00f6rige Person damit unterwegs ist. Jetzt wei\u00df man das, abgesichert durch den Stand der Technik in Sachen biometrischer Datenerfassung.<\/p>\n<h3>Biometrische Erkennungstechnologie<\/h3>\n<p>Hier wird im \u00dcberblick gezeigt, wie die biometrische Erkennung in den neuen Ger\u00e4ten realisiert wurde.<br \/>\n<center><iframe loading=\"lazy\" width=\"550\" height=\"360\" src=\"http:\/\/www.youtube.com\/embed\/TJkmc8-eyvE?feature=player_detailpage\" frameborder=\"0\" allowfullscreen><\/iframe><br \/>\n<small><strong>Quelle:<\/strong> <a href=\"http:\/\/www.youtube.com\/user\/Apple?feature=watch\">Apple Account<\/a> bei Youtube <span style=\"display:none;\"><a href=\"\/wp-uploads\/apple_the_new_touch_id_fingerprint_sensor.mp4\">Depublizierungsschutz<\/a><\/span><\/small><br \/>\n<\/center><\/p>\n<p><strong>Zitat von Dan Riccio<\/strong><br \/>(Senior Vice President, Hardware Engineering, Apple Inc.):<\/p>\n<blockquote><p>Your fingerprint is one of the best passwords in the world. It&#8217;s always with you and no two are exactly alike. So it made perfect sense to create a simple, seemless way to use it as a password. [\u2026] All fingerprint information is encrypted and stored in a new enclave on the A7 chip. Here it is locked away from anything else. Accessible only by the Touch ID sensor. It&#8217;s never available to other software, and it&#8217;s never stored on Apple&#8217;s servers or backed up to iCloud.<\/p><\/blockquote>\n<h3>Weitere Ansichten dazu<\/h3>\n<style type=\"text\/css\">\ntable.hacking tr:nth-child(odd) td{\nbackground-color:#f0f0f0;\n}\ntable.hacking tr:nth-child(even) td{\nbackground-color:#ffffff;\n}\n<\/style>\n<p><center><\/p>\n<table class=\"hacking\" style=\"border:none;\" cellspacing=\"0\" cellpadding=\"2\">\n<tr>\n<td colspan=\"3\" style=\"background-color:#f0f0f0;padding:4px;font-weight:bold;font-size:20px;\" class=\"roundness\">Presseschau<\/td>\n<\/tr>\n<tr>\n<th align=\"left\">Datum<\/th>\n<th align=\"left\" style=\"width:320px;\">Beitrag<\/th>\n<th align=\"left\">Quelle<\/th>\n<\/tr>\n<tr>\n<td valign=\"top\">18.04.2002<\/td>\n<td><a href=\"https:\/\/www.ee.usyd.edu.au\/mattb\/2011\/lectures\/Fingerprint-System-Security-Issues.pdf\">&#8222;Impact of Artificial &#8222;Gummy&#8220; Fingers on Fingerprint Systems&#8220; (PDF)<\/a> <a href=\"http:\/\/web.mit.edu\/6.857\/OldStuff\/Fall03\/ref\/gummy-slides.pdf\">(PDF Backup)<\/a><\/td>\n<td>Tsutomu Matsumoto, Hiroyuki Matsumoto, Koji Yamada, Satoshi Hoshino, <em>Optical Security and Counterfeit Deterrence Techniques IV<\/em>, Rudolf L. van Renesse, Editor, Proceedings of SPIE Vol. 4677 (2002), doi:10.1117\/12.462719<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">18.5.2003<\/td>\n<td valign=\"top\"><a href=\"http:\/\/www.stdot.com\/pub\/ffs\/\">&#8222;Creating an artificial finger using a latent fingerprint&#8220;<\/a><br \/>Depublizierungsschutz:<br \/><a href=\"\/wp-upload\/Hacking_fingerprints_1.pdf\">PDF 1<\/a>, <a href=\"\/wp-upload\/Hacking_fingerprints_2.pdf\">PDF 2<\/a>, <a href=\"\/wp-upload\/Hacking_fingerprints_3.pdf\">PDF 3<\/a>, <a href=\"\/wp-upload\/Give_Me_A_Finger.pdf\">PDF Research Paper<\/a><\/td>\n<td>Antti Kaseva, Antti St\u00e9n, Hacking Biometrics<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">16.8.2012<\/td>\n<td><a href=\"http:\/\/appleinsider.com\/articles\/12\/08\/16\/authentec_smart_sensor_appears_key_to_apples_urgent_acquisition\">&#8222;AuthenTec &#8218;Smart Sensor&#8216; appears key to Apple&#8217;s urgent acquisition&#8220;<\/td>\n<td> AppleInsider<\/a><\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">05.8.2013<\/td>\n<td><a href=\"http:\/\/weblog.invasivecode.com\/post\/57447455012\/will-a-fingerprint-sensor-be-apples-next-hit\">&#8222;Will a fingerprint sensor be Apple\u2019s next hit?&#8220;<\/a><\/td>\n<td>invasivecode<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">10.9.2013<\/td>\n<td><a href=\"http:\/\/www.wired.com\/opinion\/2013\/09\/what-if-apples-new-phone-has-fingerprint-authentication\/\">&#8222;Can Fingerprint Authentication Be Hacked? Yes. What Apple\u2019s Move Means&#8220;<\/a><\/td>\n<td>WIRED<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">10.9.2013<\/td>\n<td><a href=\"http:\/\/derstandard.at\/1378248579562\/iPhone-5S-Fingerabdruckscanner-koennen-ausgetrickst-werden\">&#8222;iPhone 5S: Fingerabdruckscanner k\u00f6nnen ausgetrickst werden&#8220;<\/a><\/td>\n<td>derstandard<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">10.9.2013<\/td>\n<td><a href=\"http:\/\/www.pcwelt.de\/news\/Fingerabdrucksensor_im_iPhone_bringt_auch_Nachteile-Apple-8194516.html\">&#8222;Fingerabdrucksensor im iPhone bringt auch Nachteile&#8220;<\/a><\/td>\n<td>PC Welt<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">10.9.2013<\/td>\n<td><a href=\"http:\/\/tidbits.com\/article\/14089\">&#8222;Q&#038;A about Fingerprint Scanning&#8220;<\/a><\/td>\n<td>tidbits<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">11.9.2013<\/td>\n<td><a href=\"https:\/\/www.lawblog.de\/index.php\/archives\/2013\/09\/11\/danke-apple\/\">&#8222;Danke, Apple&#8220;<\/a><\/td>\n<td>lawblog<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">11.9.2013<\/td>\n<td><a href=\"http:\/\/www.zeit.de\/digital\/datenschutz\/2013-09\/apple-iphone-5s-fingerabdruck\/komplettansicht\">&#8222;Fingerabdr\u00fccke, srsly?&#8220;<\/a><\/td>\n<td>DIE ZEIT<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">12.9.2013<\/td>\n<td><a href=\"http:\/\/www.reuters.com\/article\/2013\/09\/12\/us-apple-fingerprint-idUSBRE98B0BW20130912\">&#8222;Insight: Trigger Finger &#8211; Apple fires biometrics into the mainstream&#8220;<\/a><\/td>\n<td>REUTERS<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">15.9.2013<\/td>\n<td><a href=\"http:\/\/www.spiegel.de\/netzwelt\/netzpolitik\/datenschuetzer-warnt-vor-fingerscanner-im-iphone-a-922288.html\">&#8222;Touch ID: Datensch\u00fctzer warnt vor Fingerscanner in iPhone&#8220;<\/a><\/td>\n<td>SpiegelOnline<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">15.9.2013<\/td>\n<td><a href=\"https:\/\/medium.com\/mobile-world\/719b954d1060\">&#8222;9 Thesen zu Apples TouchID&#8220;<\/a><\/td>\n<td>Gernot Poetsch<\/td>\n<\/tr>\n<tr>\n<td>16.9.2013<\/td>\n<td><a href=\"http:\/\/mashable.com\/2013\/09\/15\/severed-finger-iphone-5s\/\">&#8222;No, A Severed Finger Will Not Be Able to Access a Stolen iPhone 5S&#8220;<\/a><\/td>\n<td>mashable.com<\/td>\n<\/tr>\n<tr>\n<td>16.9.2013<\/td>\n<td><a href=\"https:\/\/netzpolitik.org\/2013\/apples-iphone-5s-leichteres-spiel-fuer-die-polizei-dank-fingerabdruck\/\">&#8222;Apples iPhone 5S: Leichteres Spiel f\u00fcr die Polizei dank Fingerabdruck&#8220;<\/a><\/td>\n<td>netzpolitik.org<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">22.9.2013<\/td>\n<td><a href=\"http:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\">&#8222;Chaos Computer Club breaks Apple TouchID&#8220;<\/a><\/td>\n<td>Chaos Computer Club (CCC)<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">23.9.2013<\/td>\n<td><a href=\"http:\/\/www.zdnet.com\/apples-advanced-fingerprint-technology-is-hacked-should-you-worry-7000020998\/\">&#8222;Apple&#8217;s advanced fingerprint technology is hacked; should you worry?&#8220;<\/a><\/td>\n<td>ZDnet.com<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">23.9.2013<\/td>\n<td><a href=\"https:\/\/blog.lookout.com\/blog\/2013\/09\/23\/why-i-hacked-apples-touchid-and-still-think-it-is-awesome\/\">&#8222;Why I Hacked Apple\u2019s TouchID, And Still Think It Is Awesome.&#8220;<\/a><\/td>\n<td> Marc Rogers, Lookout.com<\/td>\n<\/tr>\n<tr>\n<td valign=\"top\">24.9.2013<\/td>\n<td><a href=\"http:\/\/www.heise.de\/ct\/artikel\/Der-iPhone-Fingerabdruck-Hack-1965783.html\">&#8222;Der iPhone-Fingerabdruck-Hack (inkl. Video)&#8220;<\/a><\/td>\n<td>J\u00fcrgen Schmidt, C&#8217;t<\/td>\n<\/tr>\n<\/table>\n<p>\n<small><strong>Quelle:<\/strong> Selbst zusammengetragen \u00fcber twitter und andere Quellen<\/small><\/center><\/p>\n<p><em>Nachtrag:<\/em><br \/>\nIch kann durchaus verstehen, welche Anziehungskraft die Bequemlichkeit des Fingerprint haben wird, schlie\u00dflich d\u00fcrfte es ein einzigartiger &#8222;Sesam \u00f6ffne dich&#8220;-Moment sein, wenn man anhand des eigenen Fingers erkannt wird. Der Sensor scheint auch wirklich ziemlich clever zu sein. Ich selbst habe mir schon gedacht, wie klasse es w\u00e4re, wenn man je nachdem mit welchem Finger man den Homebutton dr\u00fcckt auch gleich eine entsprechend vorkonfigurierte App gestartet wird. Quasi <strong>Kurzwahl per Finger<\/strong>. Ich w\u00fcrde zum Beispiel gerne auf den Zeigefinger die <strong>TweetBot App<\/strong> legen, auf den kleinen Finger w\u00fcrde ich eine <strong>Streaming Radio App<\/strong> legen. Weitere Kurzwahlkandidaten w\u00e4ren <strong>Mail<\/strong>, <strong>Safari<\/strong> &#038; ein <strong>Messenger<\/strong>.<\/p>\n<p>F\u00fcr den durchschnittlichen Nutzer wird es sicher ein Sicherheitsgewinn sein, wenn man zuvor keinerlei Schutz aktiviert hatte. Hinweis: Man kann \u00fcbrigens auch einen deutlich l\u00e4ngeren Zahlencode als die 4 Ziffern setzen und sofern es alles Ziffern sind beh\u00e4lt man auch die reine Zifferntastatur mit den gro\u00dfen gut zu treffenden Tasten.<\/p>\n<p>Der eigene Fingerabdruck wird mehr oder weniger unbewusst \u00fcberall hinterlassen, zum Beispiel wenn ich in der Tram die Fensterscheiben zum Abst\u00fctzen nutze, oder wenn ich in z.B. meinen Joghurtbecher in den gelben Sack werfe. Ein Geheimdienst k\u00f6nnte sich da einfach meinen gelben Sack schnappen und den Fingerabdruck extrahieren (aber er w\u00fcrde damit schon ein Gesetz brechen, denn mein M\u00fcll geh\u00f6rt mir und es ist nicht erlaubt darin zu w\u00fchlen). Das w\u00e4re allerdings auch ziemlich aufw\u00e4ndig und kostspielig, denn es m\u00fcsste jemand pers\u00f6nlich vorbeikommen in meine Stra\u00dfe, er m\u00fcsste den Augenblick abpassen an dem ich meinen gelben Sack rausstelle und dann m\u00fcsste er noch unerkannt von den Nachbarn meinen M\u00fcll klauen. TouchID macht das ganze wahnsinnig viel einfacher und vor allem viel kosteng\u00fcnstiger, denn hier wird sofort eine digitale Kopie meines Abdrucks erstellt, die einfach zu kopieren ist. Man merkt also gar nicht dass da gerade eine Kopie des Fingerabdrucks erstellt wurde.<\/p>\n<p>Wenn man sich <u>daf\u00fcr<\/u> entscheiden sollte diesen Sensor zu benutzen, dann sollte man kein Problem damit haben, dass die <strong>eigenen Fingerabdr\u00fccke als digitale Kopie \u00f6ffentlich im Internet<\/strong> landen, denn das wird fr\u00fcher oder sp\u00e4ter passieren, denn keine Datenbank (auch auf einem Computerchip nicht) is so sicher, dass man NICHT wieder an die Daten ran k\u00e4me. UND es sollte einem klar sein, dass jedes Mal wenn der TouchID Sensor eine erfolgreiche Identifizierung durchgef\u00fchrt hat, als Abfallprodukt v\u00f6llig klar ist, das die dazugeh\u00f6rige Person (ich als Nutzer) rechtsg\u00fcltig (denn Fingerabdr\u00fccke sind seit Jahrzehnten bereits bei der Aufkl\u00e4rung von Verbrechen eine Schl\u00fcsselinformation) identifiziert wird. Kombiniert mit der Geoposition des Ger\u00e4tes kann damit eindeutig festgestellt werden, dass ich pers\u00f6nlich mich zu einem bestimmten Zeitpunkt an einem bestimmten Ort aufgehalten habe.<\/p>\n<p>Letztlich kann ich mich der Forderung von <strong>Gernot Poetsch<\/strong> (ebenfalls iOS Entwickler) nur anschlie\u00dfen, er <a href=\"https:\/\/medium.com\/mobile-world\/719b954d1060\">schreibt<\/a>:<\/p>\n<blockquote><p>Apple muss deutlich transparenter sein, und die Sicherheitsfeatures \u00fcberpr\u00fcfbar implementieren und dokumentieren. [\u2026] Es ist [\u2026] gef\u00e4hrlich, Systemen, denen man nicht traut, seinen Fingerabdruck zu geben. Apples System muss dieses Vertrauen auch erst gewinnen [\u2026].<\/p>\n<p>Ein Biometriesystem, welches das Vertrauen der User verdient, kann zu einem deutlichen Plus an Sicherheit f\u00fchren. TouchID ist Apples Versuch ein solches System zu etablieren. Ob das gelingt, und ob es dieses Vertrauen verdient hat, muss es zeigen. <\/p><\/blockquote>\n<h3>Warten auf den hack<\/h3>\n<p>Da ein Fingerabdrucksensor von einem der gr\u00f6\u00dften Technologieunternehmen der Welt nat\u00fcrlich massenhaft magische Anziehungskraft auf die Hackereliten ausl\u00f6st&#8230; war das entstehen der folgenden Webseite nur eine Frage der Zeit.<br \/>\n<center><strong><a href=\"http:\/\/istouchidhackedyet.com\/\">http:\/\/istouchidhackedyet.com\/<\/a><\/strong><\/center><br \/>\nNa dann warten wir mal ab&#8230;<\/p>\n<p><strong>Update 22.9.2013:<\/strong><br \/>\n&#8230;<a href=\"http:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\">Warten vorbei<\/a>. Auch wenn einige #Mimimi machen und sagen <a href=\"http:\/\/www.imore.com\/touch-id-fooled-not-hacked-lifted-fingerprint\">&#8222;Das ist ja gar kein Hack, weil, weil, \u2026&#8220;<\/a>. Sehr lustig! :-)<\/p>\n<h3>CCC Hack: Video 1<\/h3>\n<p><center><br \/>\n<iframe loading=\"lazy\" width=\"550\" height=\"360\" src=\"\/\/www.youtube.com\/embed\/HM8b8d8kSNQ?feature=player_detailpage\" frameborder=\"0\" allowfullscreen><\/iframe><br \/>\n<small><strong>Quelle:<\/strong>Chaos Computer Club (CCC)<\/small> (<a href=\"\/wp-upload\/hacking_iphone_5S_touchID.mp4\">Depublizierungsschutz<\/a>)<\/center><\/p>\n<h3>CCC Hack: Video 2<\/h3>\n<p><center><br \/>\n<iframe loading=\"lazy\" width=\"550\" height=\"360\" src=\"\/\/www.youtube.com\/embed\/npR11DOzqRw?feature=player_detailpage\" frameborder=\"0\" allowfullscreen><\/iframe><br \/>\n<small><strong>Quelle:<\/strong>Chaos Computer Club (CCC)<\/small> (<a href=\"\/wp-upload\/hacking_iphone_5S_touchID_part_2.mp4\">Depublizierungsschutz<\/a>)<\/center><\/p>\n<h3>Zitat von der Webseite<\/h3>\n<div style=\"background-color:#f0f0f0;\" class=\"roundness\">\n<h2 class=\"headline\">Chaos Computer Club breaks Apple TouchID<\/h2>\n<div class=\"author_and_date\">2013-09-21 22:04:00, frank<\/div>\n<div class=\"abstract\">\n<p>The biometrics hacking team of the Chaos Computer Club (CCC) has successfully bypassed the biometric security of Apple&#8217;s TouchID using easy everyday means. A fingerprint of the phone user, photographed from a glass surface, was enough to create a fake finger that could unlock an iPhone 5s secured with TouchID. This demonstrates \u2013 again \u2013&nbsp;that fingerprint biometrics is unsuitable as access control method and should be avoided.\n<\/p>\n<\/div>\n<div id=\"headline_image\"><\/div>\n<div class=\"body\">\n<p>Apple had released the new iPhone with a fingerprint sensor that was supposedly much more secure than previous fingerprint technology. A lot of bogus speculation about the marvels of the new technology and how hard to defeat it supposedly is had dominated the international technology press for days.<\/p>\n<p>&#8222;In reality, Apple&#8217;s sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake&#8220;, said the hacker with the nickname Starbug, who performed the critical experiments that led to the successful circumvention of the fingerprint locking. &#8222;As we have said now for more than years, fingerprints should not be used to secure anything. You leave them everywhere, and it is far too easy to make fake fingers out of lifted prints.&#8220; [1]<\/p>\n<p>The iPhone TouchID defeat has been documented in a <a href=\"http:\/\/www.youtube.com\/watch?v=HM8b8d8kSNQ\">short video<\/a>.<\/p>\n<p>The method follows the steps outlined in <a href=\"http:\/\/dasalte.ccc.de\/biometrie\/fingerabdruck_kopieren?language=en\">this how-to<\/a> with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.<\/p>\n<p>&#8222;We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can\u00b4t change and that you leave everywhere every day as a security token&#8220;, said Frank Rieger, spokesperson of the CCC. &#8222;The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access.&#8220; Fingerprint biometrics in passports has been introduced in many countries despite the fact that by this global roll-out no security gain can be shown.<\/p>\n<p>iPhone users should avoid protecting sensitive data with their precious biometric fingerprint not only because it can be easily faked, as demonstrated by the CCC team. Also, you can easily be forced to unlock your phone against your will when being arrested. Forcing you to give up your (hopefully long) passcode is much harder under most jurisdictions than just casually swiping your phone over your handcuffed hands.<\/p>\n<p>Many thanks go to the Heise Security team which provided the iPhone 5s for the hack quickly. More details on the hack will be reported there.<\/p>\n<p><strong>Links<\/strong>:<\/p>\n<p>[1] <a href=\"https:\/\/ccc.de\/en\/updates\/2007\/umsonst-im-supermarkt\">Fingerprint Recognition at the Supermarket as insecure as Biometrics in Passports<\/a> (2007)<\/p>\n<\/div>\n<\/div>\n<p>By the way&#8230; <a href=\"http:\/\/rall.com\/2012\/07\/27\/los-angeles-times-cartoon-fingerprint-rationing\">fingerprinting technology may come to the rescue for police<\/a>. Oh and <a href=\"http:\/\/www.cagle.com\/\">cagle.com&#8217;s<\/a> <strong>Joe Heller<\/strong> has the right cartoon for this at hand:<br \/>\n<center><a href=\"\/wp-upload\/Cagle_fingerprint_TouchID_NSA.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"2993\"  src=\"\/wp-upload\/Cagle_fingerprint_TouchID_NSA.png\" alt=\"Cagle_fingerprint_TouchID_NSA\" width=\"550\" height=\"407\" class=\"aligncenter size-full wp-image-2993\" srcset=\"https:\/\/www.thetawelle.de\/wp-upload\/Cagle_fingerprint_TouchID_NSA.png 550w, https:\/\/www.thetawelle.de\/wp-upload\/Cagle_fingerprint_TouchID_NSA-300x221.png 300w\" sizes=\"auto, (max-width: 550px) 85vw, 550px\" \/><\/a><br \/>\n<strong>Source:<\/strong> <a href=\"http:\/\/www.cagle.com\/2013\/09\/phone-fingerprint\/\">http:\/\/www.cagle.com\/2013\/09\/phone-fingerprint\/<\/a><\/center><\/p>\n<h3>Update 29. M\u00e4rz 2014: I WAS WRONG.<\/h3>\n<p>I have to admit it, I was wrong. On the whole thing.<\/p>\n<p><a href=\"\/wp-upload\/wrong_550.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"3721\"  src=\"\/wp-upload\/wrong_550.png\" alt=\"wrong_550\" width=\"550\" height=\"305\" class=\"aligncenter size-full wp-image-3721\" srcset=\"https:\/\/www.thetawelle.de\/wp-upload\/wrong_550.png 550w, https:\/\/www.thetawelle.de\/wp-upload\/wrong_550-300x166.png 300w\" sizes=\"auto, (max-width: 550px) 85vw, 550px\" \/><\/a><\/p>\n<p>I mean I wasn&#8217;t even a bit off, I was completely wrong.<\/p>\n<p><a href=\"\/wp-upload\/im-not-always-wrong.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"3722\"  src=\"\/wp-upload\/im-not-always-wrong.png\" alt=\"im-not-always-wrong\" width=\"550\" height=\"731\" class=\"aligncenter size-full wp-image-3722\" srcset=\"https:\/\/www.thetawelle.de\/wp-upload\/im-not-always-wrong.png 550w, https:\/\/www.thetawelle.de\/wp-upload\/im-not-always-wrong-225x300.png 225w\" sizes=\"auto, (max-width: 550px) 85vw, 550px\" \/><\/a><\/p>\n<p>I started using the fingerprint sensor on my <strong>iPhone 5S<\/strong>. And it is a damn fckn piece of brilliant sh*t. Have you ever payed a product with your fingerprint? Unlocking the iPhone since iOS 7.1 works like a charme (until 7.0.5 it was often a bit awkward). I never used a locking code on my device before because as a developer you always need an unlocked device to compile for Xcode.<\/p>\n<p>Since I use the fingerprint sensor, my device definitely IS safer than before. And since the fingerprint often is sufficient to buy stuff, I buy more stuff. Apple, I honor this innovation. You have proved me so wrong! It just works as intended. It raises the security level for most of the users even though you could attack the mechanism. But spoofing the passcode is even easier peeking over a shoulder. I have read the <a href=\"https:\/\/ssl.apple.com\/pr\/\">press releases<\/a> and the <a href=\"https:\/\/www.apple.com\/iphone\/business\/docs\/iOS_Security_Feb14.pdf\">Security Bulletin on <strong>iOS Security<\/strong> from Feb 2014<\/a> (<a href=\"https:\/\/www.thetawelle.de\/wp-upload\/iOS_Security_Feb14.pdf\">iOS_Security_Feb14<\/a>) Apple did on the security architecture.<\/p>\n<p>Though I think we are all fu**ed by the NSA anyway, I concluded that extracting my passcode from the device would be as easy as extracting the fingerprint. And if I use an Apple Device at all (what I do) I have to trust these guys anyway. So either I throw out all my Apple devices (which I simply cannot afford to do) or I trust them.<\/p>\n<p>I decided to trust them, knowing that I cannot trust them. I know that is a problem. But I love the ease of use too much, I love the quality of the products too much, and I love developing software too much to give in and throw all that easily away.<\/p>\n<p>I herewith admit: I WAS WRONG! AND I APOLOGIZE!<\/p>\n<p><a href=\"\/wp-upload\/apologize_500.png\"><img loading=\"lazy\" decoding=\"async\" data-id=\"3723\"  src=\"\/wp-upload\/apologize_500.png\" alt=\"apologize_500\" width=\"460\" height=\"232\" class=\"aligncenter size-full wp-image-3723\" srcset=\"https:\/\/www.thetawelle.de\/wp-upload\/apologize_500.png 460w, https:\/\/www.thetawelle.de\/wp-upload\/apologize_500-300x151.png 300w\" sizes=\"auto, (max-width: 460px) 85vw, 460px\" \/><\/a> <\/p>\n<p>Apple was right in adding the fingerprint sensor to the device. It is a huge value added, and it eases things. And it raises security. It is a success! I respect them for doing it, but the timing was very bad because it was on #PEAK #NSA when they rolled out the product.<\/p>\n<p>Der CCC hat sich an der Stelle im Prinzip medienwirksam einen runtergeholt <u>ohne<\/u> den letztlich real eingetretenen Zugewinn an Sicherheit f\u00fcr die meisten Leute fairerweise zu honorieren. Aber auch der CCC Stand unter #PEAK #NSA Schock und die Details der Speicherung der Fingerabdruckdaten sind bis heute immer noch nicht \u00fcberpr\u00fcfbar offengelegt worden seitens Apple. Das ist sehr, sehr schade f\u00fcr so eine Funktion.<\/p>\n<p><strong>Hinweis:<\/strong><br \/>\nMein Hinweis f\u00fcr Leute, die wie ich den Fingerabdrucksensor mittlerweile nutzen ist folgender. Wenn ihr in eine Sicherheitskontrolle z.B. durch Polizei oder so geratet, schaltet das Ger\u00e4t AUS. Ein Entriegeln mit dem Fingerabdruck ist dann nicht mehr m\u00f6glich und kann auch nicht erzwungen werden. Den Passcode kann man noch nicht aus eurem Hirn extrahieren.<\/p>\n<h3>hacking touch id<\/h3>\n<p>Es gibt mittlerweile einen <a href=\"http:\/\/media.ccc.de\/browse\/conferences\/gpn\/gpn14\/gpn14_-_5835_-_de_-_medientheater_-_201406211730_-_hacking_touchid_-_starbug.html\">sch\u00f6nen Vortrag<\/a> von <strong>starbug<\/strong> von der <a href=\"https:\/\/entropia.de\/Gulaschprogrammiernacht\">Gulaschprogrammiernacht 2014<\/a> \u00fcber die Art und Weise wie genau vorgegangen wurde.<\/p>\n<h3>FUD, Aufkl\u00e4rung, Wahrheit?<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" data-id=\"4814\"  src=\"\/wp-upload\/geheimorganisation.png\" alt=\"geheimorganisation\" width=\"300\" height=\"154\" class=\"alignright size-full wp-image-4814\" \/>Habe grade <a href=\"http:\/\/geheimorganisation.org\/nachrichten\/terrorismusbekampfung-de-maiziere-erklart-den-besitz-eines-iphones-zu-erster-burgerpflicht\/\">diesen Beitrag hier<\/a> mit dem Titel <strong>&#8222;Terrorismusbek\u00e4mpfung: De Maizi\u00e8re erkl\u00e4rt den Besitz eines iPhones zu &#8218;erster B\u00fcrgerpflicht'&#8220;<\/strong> gelesen bei der <a href=\"http:\/\/geheimorganisation.org\/\">geheimorganisation.org<\/a> &#8230; etwas sp\u00e4t aber immerhin&#8230; jetzt frag ich mich was soll das sein? Ist es lediglich die Lust am Trollen, die Lust an der Verbreitung von Fear, Uncertainty &#038; Doubt, oder ist es die Verbreitung der Wahrheit unter der Tarnung von einem Obertitel <strong>&#8222;Geheimorganisation&#8220;<\/strong>? Was soll sowas bewirken? Welche Beweise gibt es f\u00fcr die genannten Thesen\/Vermutungen oder welche Fakten sprechen daf\u00fcr?<\/p>\n<p>Ich f\u00fcr meinen Teil kann mir kaum vorstellen, dass Apple hier das erste Mal einen Standard implementiert h\u00e4tte, n\u00e4mlich einen f\u00fcr Fingerabdr\u00fccke. <strong>Apple hat sich bisher nie f\u00fcr Standards interessiert.<\/strong> Das w\u00e4re aber n\u00f6tig, damit die Daten sinnvoll nutzbar w\u00e4ren. Und dann muss der Datensatz einerseits stabil bleiben und noch das Ger\u00e4t verlassen. F\u00fcr keine dieser Dinge liegt bislang ein Nachweis vor. Wenn man davon so \u00fcberzeugt ist, sollte es doch f\u00fcr datenforensisch interessierte Koryph\u00e4en ein Einfaches sein einen Beweis zu erbringen, dass <strong>Apple mit dem Fingerabdruckscanner Daten einsammelt und standardisiert nach Hause telefoniert<\/strong>, oder?<\/p>\n<p>Nichts anderes als diesen Nachweis w\u00fcrde ich von Leuten wie starbug erwarten. Ich hab die Skills nicht. Aber im CCC Umfeld m\u00fcsste es Leute geben die die Skills haben. Warum beweist ihr das nicht einfach mal? <strong>Damit w\u00fcrdet ihr f\u00fcr immer ber\u00fchmt werden!!!<\/strong><\/p>\n<p><small><a href=\"\/wp-upload\/smiley_sticker.gif\"><img loading=\"lazy\" decoding=\"async\" data-id=\"2826\"  src=\"\/wp-upload\/smiley_sticker_small.png\" alt=\"smiley_sticker_small\" width=\"250\" height=\"200\" class=\"alignright size-full wp-image-2826\" \/><\/a><strong>Why do I blog this?<\/strong> Gerade vor dem Hintergrund von PRISM, TEMPORA, und den gesamten Abh\u00f6raktivit\u00e4ten der Internetnutzer durch die NSA und den britischen Geheimdienst, sollte man sich dreimal \u00fcberlegen eine solche biometrische Identifizierungstechnologie ins Haus zu lassen und noch mehr dar\u00fcber nachdenken, wie man sich selbst z.B. <a href=\"http:\/\/www.theguardian.com\/world\/2013\/sep\/05\/nsa-how-to-remain-secure-surveillance\">mit einer <strong>Air Gap<\/strong><\/a> absichern kann. Die Technologie erh\u00f6ht die Sicherheit nicht, aber macht den Nutzer eindeutiger identifizierbar, und zwar rechtssicher identifizierbar. So ist dann z.B. nicht mehr nur die Information f\u00fcr Geheimdienste im Zugriff, dass sich ein Ger\u00e4t an einem bestimmten Ort befindet, sondern das rechtssicher verifiziert ist, dass sich auch diese Person an diesem Ort befindet, sobald diese ihr Ger\u00e4t unlocked.<\/p>\n<p>Auch bei einer Polizeikontrolle braucht man dann nicht mehr nach dem Passwort gefragt zu werden, es wird einfach der Finger auf das Ger\u00e4t gedr\u00fcckt und schwupps gibt es Zugriff. Ob man es dem Staat und seinen Geheimdiensten so leicht machen m\u00f6chte einen zu identifizieren und durch die gesamte Welt zu verfolgen? Wir hatten in Deutschland die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Geheime_Staatspolizei\">GeStaPo<\/a> und die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Ministerium_f%C3%BCr_Staatssicherheit\">StaSi<\/a>&#8230; beide haben sich ausgezeichnet durch massives Sammeln von Daten, u.a. wurden sogar Haarproben von \u00dcberwachungsopfern (bei der StaSi) genommen, damit Suchhunde etwas zum Schn\u00fcffeln vom Opfer haben. Wenn diese Technologie kommen sollte, werde ich den Sensor als erstes unbrauchbar machen, und genau das empfehle ich auch allen anderen Nutzern zu tun. Zum Beispiel mit einem lustigen <strong>Smiley-Aufkleber wie hier rechts gezeigt.<\/strong>.<\/small><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Ger\u00fcchte verdichten sich so langsam zu dem einhelligen \u00dcbereinkommen verschiedener Apple Gazetten, dass Apple wohl ein neues Modell des iPhone mit einem eingebauten Fingerabdrucksensor vorstellen wird. Das wird den Nutzer noch sicherer identifizierbar machen. Denn nichts anderes verfolgt der Ansatz biometrische Merkmale zu erfassen. Was also bereits bei unserem neuen Personalausweis massive Kritik geerntet &hellip; <a href=\"https:\/\/www.thetawelle.de\/?p=2819\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eFingerabdruckscanner in neuem iPhone?\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[68,36,15,2],"tags":[],"class_list":["post-2819","post","type-post","status-publish","format-standard","hentry","category-hardware","category-mobile","category-visualisierung","category-gefunden"],"_links":{"self":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts\/2819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2819"}],"version-history":[{"count":0,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts\/2819\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}