Editorial: Jedermanns Fingerabdruck
Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko
Andre Reinhardt
Jüngst wurde ein schwerer Software-Bug in den Sicherheitsfunktionen des
Samsung Galaxy S10
(inklusive S10+)
Samsung Galaxy Note 10
(inklusive Note 10+)
entdeckt:
Wenn bestimmte billige Displayschutzfolien verwendet werden, kann
anschließend jeder beliebige Fingerabdruck zum Entsperren des Smartphones
verwendet werden. Es reicht, dass irgendein Fingerabdruck registriert
wurde. Deswegen empfiehlt Samsung auch derzeit, die Entsperrung des
Smartphones per Fingerabdruck zu deaktivieren. Ein Software-Update ist
in Arbeit und wird in Korea bereits verteilt, seit
Freitag ist es auch in Europa verfügbar.
Das Problem ist deswegen von Bedeutung, weil ein Dieb die "Entsperrfolie" natürlich auch nachträglich anbringen kann und so Zugang zu den vom Nutzer auf dem Smartphone gespeicherten Daten erhält. Zudem verwenden viele Apps den Fingerabdruck zur Sicherheitsfreigabe, beispielsweise für die Ausführung von Überweisungen. Entsprechend hoch ist daher derzeit die Gefahr, dass Nutzer, denen ein Galaxy S10 gestohlen wird, über den Verlust des Gerätes hinaus Schaden erleiden.
Unabhängige Sicherheitszertifizierung
Fingerabdrucksensor des Galaxy S10(+) als Sicherheits-Risiko
Andre Reinhardt
Zwar sind von unabhängigen Dritten durchgeführte Sicherheitszertifizierungen
auch nicht immer das Papier wert, auf dem sie gedruckt worden sind.
Der deutsche TÜV Süd hatte dem brasilianischen Bergbaukonzern Vale
beispielsweise in einem Gutachten zahlreiche Mängel an einem
Staudamm bei Brumadinho an seiner größten Eisenerzmine Córrego do
Feijão aufgezählt, aber dennoch im September 2018 die grundsätzliche
Standsicherheit attestiert. Als der Damm im Januar 2019 brach, tötete
die dadurch freigesetzte Schlammlawine 249 Menschen. Auch der
Skandal der Zulassung der Boeing 737 MAX durch die amerikanische
Flugaufsicht FAA trotz des
gefährlichen Flugkontrollsystem MCAS wird
derzeit - zu Recht - ausführlich von der Presse aufgearbeitet.
Offensichtlich ging es Boeing darum, die 737 MAX möglichst schnell
als Konkurrenzmodell zum Airbus A320 Neo auf den Markt zu
bringen. Die Sicherheit, die in der Luftfahrt eigentlich an erster
Stelle stehen sollte, musste hinter dem Ziel der Schnelligkeit
zurückstecken.
Analoges gilt auch in der Mobilfunk-Welt: Smartphones werden mit Hochdruck weiterentwickelt, Zuverlässigkeit und Sicherheit der Produkte leiden immer wieder darunter. Trotz der Skandale mit den genannten Zertifizierungsstellen: Es spricht vieles dafür, dass Firmen wie Samsung (bei der Entwicklung von Biometrie-Sensoren) oder Google (bei der Weiterentwicklung von Android) sorgfältiger vorgehen würden, wenn sie ihre Software einer öffentlichen Zertifizierungsstelle vorlegen müssten.
Konkurrierende Zertifizierungsstellen als Vorteil
Besser noch, es gäbe sogar mehrere konkurrierende Zertifizierungsstellen: Das 737-MAX-Desaster scheint auch deswegen möglich gewesen zu sein, weil die europäische EASA und die amerikanische FAA sich die Aufgaben insofern teilten, als EASA Airbus und FAA Boeing zertifizierte, und die jeweiligen Zertifizierungen dann wechselseitig anerkannt wurden. Weitere Nationen folgten dann dem "gemeinsamen" Urteil von EASA und FAA. Seit den beiden 737-MAX-Abstürzen ist die Freundschaft aber wohl aufgekündigt und die beiden Behörden liefern sich seitdem einen fruchtbaren Wettstreit darum, wer mehr gefährliche weitere Fehler der Boeing 737 MAX findet. Für die Sicherheit der Fluggäste ist das nur gut.
Genauso würde es der Sicherheit der Smartphone-Nutzer dienen, wenn die Smartphone-Sicherheit von konkurrierenden Sicherheitsbehörden aus Asien, Osteuropa, Westeuropa und den USA zertifiziert (oder eben bei Problemen auch nicht zertifiziert) werden würde.