Android-Smartphones können über den Fingerabdrucksensor überlistet werden, warnen Sicherheitsforscher. Über Attacken sei es möglich, die volle Kontrolle über Android-Handys zu erlangen. Bei den ebenfalls untersuchten iPhones soll die Sicherheitslücke hingegen nicht auftreten.
Android-Lücke: Fingerabdrucksensor als Einfallstor
Sicherheitsforschern von Tencent Labs und der Universität Zhejiang in China ist es nach eigenen Angaben gelungen, über Brute-Force-Attacken das Fingerabdruck-Schutzsystem von Android-Handys zu überlisten. Sie konnten so anscheinend Zugriff auf die untersuchten Smartphones erhalten.
Eigentlich sollte das Schutzsystem dafür sorgen, dass nur eine begrenzte Anzahl an Entsperrversuchen über den Fingerabdruck-Scanner möglich ist. Wird diese erreicht, verweigert der Scanner temporär den Dienst. Nutzer müssen sich anschließend anders authentifizieren. Genau diesen Mechanismus haben die Forscher unter Android aushebeln können, wie sie berichten.
Ohne Schutzsystem reicht anscheinend schon eine relativ simple Brute-Force-Attacke, bei der verschiedenste Fingerabdrücke in Sekundenschnelle automatisch probiert werden. Ein exakt passender Fingerabdruck muss dabei gar nicht verwendet werden, da auch solche mit leichten Abweichungen vom Smartphone akzeptiert werden. Nach Angaben der Forscher kann ein großes Fingerabdruck-Set bereits für rund 15 US-Dollar im Netz gekauft werden.
Das bietet die aktuelle Version Android 13:
Alle getesteten Android-Handys betroffen
Sämtliche der untersuchten Android-Smartphones konnten über den Fingerabdrucksensor geknackt werden. Die Sicherheitsforscher haben das Samsung Galaxy S10 Plus, Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OnePlus 5T und Oppo Reno Ace getestet. Auch die mit HarmonyOS betriebenen Huawei Mate 30 Pro und P40 wurden überlistet.
Beim iPhone 7 und iPhone SE waren die Attacken nicht erfolgreich. Zwar seien Apple-Handys prinzipiell auch gefährdet, doch mehr als 15 verschiedene Fingerabdrücke konnten die Forscher bei ihren Attacken nicht hintereinander verwenden (Quelle: Bleeping Computer).