Galaxy S5: Schwachstelle ermöglicht Fingerabdruck-Diebstahl

Biometrische Authentifizierungsmethoden sind ein anhaltender Trend und eine beliebte Alternative zu Passwörtern, da sie als sicherer gelten. Doch auch sie sind – im wahrsten Sinne des Wortes – nicht frei von Fehlern, wie zuletzt zwei Researcher des Sicherheitsunternehmens FireEye auf der RSA Konferenz gezeigt haben. Das Samsung Galaxy S5 enthält nämlich eine Schwachstelle im Fingerabdruckscanner, durch die Hacker an die Abdrücke gelangen könnten, um sie anschließend für ihre Zwecke zu missbrauchen.

Wie Forbes berichtet, haben die beiden FireEye-Forscher Tao Wei und Yulong Zhang herausgefunden, dass es auf dem Galaxy S5 möglich ist, die Daten über den Fingerabdrucksensor abzufangen. Zwar wird der Fingerabdruck in einer verschlüsselten Datei abgelegt, doch die Forscher waren in der Lage, die Informationen abzufangen, bevor sie in diesen abgesicherten Systembereich gelangten. Dafür benötigten sie allerdings eine Malware, mit der sie Root-Rechte auf dem Smartphone erlangen konnten.

Danach gestaltet sich der Angriff relativ leicht, wie Zhang zu berichten weiß: „Jedes Mal, wenn du den Fingerabdrucksensor berührst, kann der Angreifer den Fingerabdruck stehlen“, erklärte er gegenüber Forbes. „Du kannst die Daten abfangen und mithilfe dieser Daten dann ein Bild des Fingerabdrucks generieren. Danach kannst du tun, was immer du willst.“

Die Wissenschaftler schließen nicht aus, dass neben dem Samsung Galaxy S5 auch Geräte anderer Hersteller von der Schwachstelle betroffen sind: „Wir haben nur eine begrenzte Anzahl an Geräten getestet. Zwar gehen wir davon aus, dass das Problem weiter verbreitet ist, sicher sind wir uns dessen aber nicht“, erklärte ein Sprecher von FireEye in einer E-Mail an Forbes.

Obwohl Samsung offenbar bislang noch kein Patch für die Schwachstelle veröffentlicht hat, besteht kein Grund zur Panik. Für alle Nutzer, die bereits Android 5.0 Lollipop auf ihrem Galaxy S5 installiert haben, besteht keine Gefahr. Die Sicherheitslücke besteht nur bei älteren Versionen des Betriebssystems.

Autor , ESET