Biometrie

Editorial: Jedermanns Fingerabdruck

Mit einer Billig­folie können die Biome­trie-Funk­tionen von Samsung Galaxy S10 und Note 10 ausge­hebelt werden: Geht Entwick­lungs­geschwin­digkeit vor Sicher­heit?
Von

Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko
Andre Reinhardt
Jüngst wurde ein schwerer Soft­ware-Bug in den Sicher­heits­funk­tionen des Samsung Galaxy S10 (inklu­sive S10+) Samsung Galaxy Note 10 (inklu­sive Note 10+) entdeckt: Wenn bestimmte billige Display­schutz­folien verwendet werden, kann anschlie­ßend jeder belie­bige Finger­abdruck zum Entsperren des Smart­phones verwendet werden. Es reicht, dass irgendein Finger­abdruck regis­triert wurde. Deswegen empfiehlt Samsung auch derzeit, die Entsper­rung des Smart­phones per Finger­abdruck zu deak­tivieren. Ein Soft­ware-Update ist in Arbeit und wird in Korea bereits verteilt, seit Freitag ist es auch in Europa verfügbar.

Datenblätter

Das Problem ist deswegen von Bedeu­tung, weil ein Dieb die "Entsperr­folie" natür­lich auch nach­träg­lich anbringen kann und so Zugang zu den vom Nutzer auf dem Smart­phone gespei­cherten Daten erhält. Zudem verwenden viele Apps den Finger­abdruck zur Sicher­heits­frei­gabe, beispiels­weise für die Ausfüh­rung von Über­weisungen. Entspre­chend hoch ist daher derzeit die Gefahr, dass Nutzer, denen ein Galaxy S10 gestohlen wird, über den Verlust des Gerätes hinaus Schaden erleiden.

Unab­hängige Sicher­heits­zerti­fizie­rung

Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko
Andre Reinhardt
Zwar sind von unab­hängigen Dritten durch­geführte Sicher­heits­zerti­fizie­rungen auch nicht immer das Papier wert, auf dem sie gedruckt worden sind. Der deut­sche TÜV Süd hatte dem brasi­liani­schen Berg­baukon­zern Vale beispiels­weise in einem Gutachten zahl­reiche Mängel an einem Stau­damm bei Brumad­inho an seiner größten Eisen­erzmine Córrego do Feijão aufge­zählt, aber dennoch im September 2018 die grund­sätz­liche Stand­sicher­heit attes­tiert. Als der Damm im Januar 2019 brach, tötete die dadurch frei­gesetzte Schlamm­lawine 249 Menschen. Auch der Skandal der Zulas­sung der Boeing 737 MAX durch die ameri­kani­sche Flug­aufsicht FAA trotz des gefähr­lichen Flug­kontroll­system MCAS wird derzeit - zu Recht - ausführ­lich von der Presse aufge­arbeitet. Offen­sicht­lich ging es Boeing darum, die 737 MAX möglichst schnell als Konkur­renz­modell zum Airbus A320 Neo auf den Markt zu bringen. Die Sicher­heit, die in der Luft­fahrt eigent­lich an erster Stelle stehen sollte, musste hinter dem Ziel der Schnel­ligkeit zurück­stecken.

Analoges gilt auch in der Mobil­funk-Welt: Smart­phones werden mit Hoch­druck weiter­entwi­ckelt, Zuver­lässig­keit und Sicher­heit der Produkte leiden immer wieder darunter. Trotz der Skan­dale mit den genannten Zerti­fizie­rungs­stellen: Es spricht vieles dafür, dass Firmen wie Samsung (bei der Entwick­lung von Biome­trie-Sensoren) oder Google (bei der Weiter­entwick­lung von Android) sorg­fältiger vorgehen würden, wenn sie ihre Soft­ware einer öffent­lichen Zerti­fizie­rungs­stelle vorlegen müssten.

Konkur­rierende Zerti­fizie­rungs­stellen als Vorteil

Besser noch, es gäbe sogar mehrere konkur­rierende Zerti­fizie­rungs­stellen: Das 737-MAX-Desaster scheint auch deswegen möglich gewesen zu sein, weil die euro­päische EASA und die ameri­kani­sche FAA sich die Aufgaben inso­fern teilten, als EASA Airbus und FAA Boeing zerti­fizierte, und die jewei­ligen Zerti­fizie­rungen dann wech­selseitig aner­kannt wurden. Weitere Nationen folgten dann dem "gemein­samen" Urteil von EASA und FAA. Seit den beiden 737-MAX-Abstürzen ist die Freund­schaft aber wohl aufge­kündigt und die beiden Behörden liefern sich seitdem einen frucht­baren Wett­streit darum, wer mehr gefähr­liche weitere Fehler der Boeing 737 MAX findet. Für die Sicher­heit der Flug­gäste ist das nur gut.

Genauso würde es der Sicher­heit der Smart­phone-Nutzer dienen, wenn die Smart­phone-Sicher­heit von konkur­rierenden Sicher­heits­behörden aus Asien, Osteu­ropa, West­europa und den USA zerti­fiziert (oder eben bei Problemen auch nicht zerti­fiziert) werden würde.

Weitere Edito­rials