Fingerabdruckscanner unter Android

[TripleFan]

Hi,

vor einem knappen Jahr wurde hier diskutiert, dass die Implementation der Fingerabdruckscanner unter Android unsicher und angreifbar wäre.
Bei meiner Recherche bzgl. eines neuen Smartphones ist mir aktuell aber aufgefallen, dass ein funktionierender und zuverlässig arbeitender Scanner für viele immer noch ein wichtiges Kriterium ist.

Wie ist denn da jetzt also der Stand? Sicherheitslücken mittlerweile geschlossen? Oder wird das alles (wie meistens) nicht so heiß gegessen, wie es gekocht wird, bzw. ist das Risiko, ob real oder abstrakt, den meisten einfach gleichgültig?

Betraf die Problematik um die Scanner eigentlich nur bestimmte Android-Versionen, oder ist das versionsübergreifend?

 

[altmann]

Wie ist denn da jetzt also der Stand? Sicherheitslücken mittlerweile geschlossen? Oder wird das alles (wie meistens) nicht so heiß gegessen, wie es gekocht wird, bzw. ist das Risiko, ob real oder abstrakt, den meisten einfach gleichgültig?

Ehrlich gesagt, nie wieder was von gehört das es damit Probleme gab bzw. da irgendwelche Lücken aktiv im großen Stil genutzt werden.

Ist so wie vor knapp einem Jahr mit der Stagefright-Lücke. Einige sprachen hier schon von einem halben Weltuntergang und dem Ende von Android - und, was ist geschehen? Nüschts. Die "Bedrohungslage" für den einzelnen Nutzer ist genau so klein oder groß wie vorher auch.

 

[Youngn]

Naja, im Prinzip ist alles gut verlaufen!
Und ja, an die Weltuntergangsstimmung kann ich mich noch erinnern...ich glaube deswegen wollte ich das auch nicht, weil Google ja dann deinen Fingerabdruck hat.

Google speichert den Abdruck nur lokal (heißt nur auf dem Gerät) und an sich, wenn man die neueste Android Version nutzt, hat man selbstverständlich auch weniger Angriffsrisiken. Ausgenommen von ROM's und APK's, die nicht vertrauenswürdig sind.
Im groben Ganzen kann man sagen, der Fehler liegt/sitzt immer vor dem Bildschirm!

Hier noch was zum lesen, wer langeweile hat:
https://support.google.com/nexus/answer/6300638?hl=de

 

[steffsb]

Fingerabdruckscanner???
Brauch und will ich nicht!
Die phones bei dem einer vorhanden war, wurde der Scanner nach ein wenig rum spielen abgeschaltet!
Just my 2 cents

 

[Poppeye]

Das Problem war doch bei Apple, wenn ich mich recht erinnere?

 

[TripleFan]

@altmann : Hm, ist wohl so wie immer: wenns der eigenen Bequemlichkeit dient wird über Risiken und Nebenwirkungen gerne mal hinweg gesehen. Ist ja bei Whatsapp, Facebook, Googleprodukten allgemein u.ä. nicht anders. Ich nehme mich da auch gar nicht aus...

@Poppeye : ich hatte es gerade anders herum in Erinnerung. Apple hatte als erstes eine sichere Implementierung, Google hat dann auf die Schnelle etwas zusammengefrickelt um mithalten zu können und dabei systemimanente Sicherheitslücken eingebaut.

@Youngn : interessanter Artikel. Das widerspricht meiner Erinnerung der Problematik. Ich war der Meinung Android würde die Fingerabdrücke unverschlüsselt speichern. Oder war es so, dass Apple die Abdrücke in der Hardware verschlüsselt und Android auf eine kompromittierbare Softwareverschlüsselung setzt?

@steffsb : Grundsätzlich gebe ich Dir recht. Bisher hab ich so einen Fingerscanner auch nicht vermisst. Damit Rumspielen und Testen würde ich natürlich gerne mal. Bloß, wenn die Abdruckdaten danach ggf. kompromittiert und "verbrannt" sind...?!

 

[Youngn]

Bei Apple war es so, das Klugsch....r (Chaos Computer Club) ankamen mit einem Fingerabdruck von einem Glas. Dieser wurde benutzt um eine Kopie des Abdrucks in Kunststoff (?) zu fertigen. SKANDAL!!
Bei Android war es so, dass es vorab keine richtige Regelung gab. HTC war da glaub ich erster, der den Abdruck unverschlüsselt, als Klarbild einfach so abgespeichert hat. Mittlerweile wird das ja besser umgesetzt. Google sagt dazu ja das hier:

• Die Fingerabdruckdaten müssen innerhalb des Hardwaresensors oder zertifizierten Speichers gesichert sein, sodass Bilder Ihres Fingerabdrucks unzugänglich sind.
• Im Dateisystem darf nur die verschlüsselte Version der Fingerabdruckdaten abgespeichert werden, auch wenn das Dateisystem selbst verschlüsselt ist.

Ich versteh das so:
Heißt also, die Abdrücke werden erstmal verschlüsselt. Unabhängig davon ob der Speicher bereits verschlüsselt ist oder nicht. Wird also IMMER verschlüsselt.
Danach auf einem Speicher des Fingerscanners oder einem extra dafür angefertigtem Minispeicher abgelegt. So sind die halt vom System "befreit", bzw. es wird nicht drauf zugegriffen, außer vom Fingerscanner bzw. dessen Hardware selbst.

Damit Rumspielen und Testen würde ich natürlich gerne mal.

Macht schon Spaß!
Und wenn jemand deine Fingerabdrücke haben will, muss er dir eh nur 10 min lang hinterherlaufen! Irgendwas wirst du schon anfassen, das reicht ja. Von daher bin ich dem mittlerweile nicht so feindlich gestimmt.^^

 

[TripleFan]

Ich bin parallel auch gerade ein bißchen am Lesen zum Thema. Problematisch ist wohl, dass eine regelkonforme Implementation der Scanner ins System erst mit Android 6 gegeben ist. Bei allen vorherigen Versionen sind es wohl Eigenlösungen der jeweiligen Hersteller (s. HTC). Wie gut das bei den gängigen chinesischen Herstellern gelöst ist und ggf. gepatched wird können wir uns wohl vorstellen...
Ob die Googles Empfehlungen (den mehr sinds wahrscheinlich nicht) von den jeweiligen Herstellerprogrammierern umgesetzt werden weiss keiner.

Klar, an die Fingerabdrücke einer Person zu kommen ist natürlich (relativ) simpel (wobei der Aufwand für verwertbare Abdrücke angeblich doch recht hoch ist). Das ist nicht das Thema. Das Problem entsteht dann, wenn die Abrücke dann elektronisch hinterlegt sind um entsprechende Authentifizierungen zu ermögichen.