Die Touch ID und die Bedrohung durch mögliches Klonen des Fingerabdrucks

Seit der ersten Einführung der Touch ID zum Scannen des Fingerabdrucks und der Identifizierung des Nutzers mithilfe biometrischer Merkmale sowie der Einführung von iOS8 mit einer API, die es Entwicklern erlaubt,  biometrische Merkmale wie den Fingerabdruck in mobile Apps zu integrieren, gab es viele Diskussion über die Sicherheit der Touch ID und ob sie  unterwandert werden kann.

Zweifellos werden einige Kriminelle versuchen, Sicherheitslücken bei der Touch ID zu finden und diese auszunutzen, um iOS-Geräte zu kompromittieren und Zugang zu sensiblen Nutzerdaten zu bekommen. Um aber die Touch ID zu kompromittieren, benötigt ein Krimineller Zugriff auf das iOS-Gerät des Nutzers sowie dessen einzigartigen Fingerabdruck, um diesen erfolgreich scannen zu können.

Leider gibt es bereits seit vielen Jahren schon Techniken, um Fingerabdrücke erfolgreich nachbilden und biometrische Sicherheitsmechanismen umgehen zu können. Der sich für Informationsfreiheit einsetzende Chaos Computer Club lieferte den Beweis, indem er 2004 einfache Anweisungen zum Kopieren und Fälschen von Fingerabdrücken postete – also beinahe ein ganzes Jahrzehnt vor der ersten Einführung der Touch ID.

Warum die Touch ID die Sicherheit trotz der Risiken, die mit dem Fingerabdruck verbunden sind, dennoch erhöhen kann  

Trotz allem ist die Touch ID ein potentiell revolutionäres Tool, um Datensicherheit zu erhöhen und Cyberkriminalität zu verhindern. Für iOS-Nutzer kann sie in der Tat einen dramatischen Anstieg des Sicherheitsniveaus bewirken und den Anreiz für Verbrecher senken, diese Geräte zu stehlen.

Wie Security-Blogger Bruce Schneier betonte, “versucht Apple Sicherheit und Komfort im Gleichgewicht zu halten” und  “bietet eine Möglichkeit, eine vierstellige PIN – etwas, mit dem sich viele iPhone Nutzer überhaupt nicht erst abgeben – durch einen Fingerabdruck zu ersetzen.”

Tatsächlich berichtete der Marketingleiter Phil Schiller 2013 auf einer Presseveranstaltung, dass über die Hälfte der Smartphone-Nutzer keinen Passcode verwenden, um ihre Geräte abzusichern. Somit wurde die Touch ID als Angebot einer bequemen, biometrischen Methode als Ermutigung für den Nutzer verstanden, da diese eher geneigt waren, diese Methode zu verwenden, um damit auf mehr Sicherheit zu setzen.

Das führte auch zu Spekulationen über das Potential der Touch ID, für Logins und Nutzerüberprüfung für Online-Banking, Online-Zahlungen, und Unternehmenssicherheit integriert zu werden. Mit der Einführung der Touch ID API wurden diese Spekulationen zur Realität.

Apple bietet die Touch ID bereits als eine zusätzliche Sicherheitsebene für Käufe im AppStore an, und die neue Touch ID API erlaubt nun Entwicklern, dieselbe Sicherheit für die Logins ihrer eigenen Apps und Webseiten zu integrieren.

Wie die aktuelle Integration der Touch ID weitere Schwachstellen erzeugt

Während die Touch ID für Nutzer bequemer als Passcodes ist und viele großartige Applikationen für die Sicherheit besitzt, so ist es doch nicht wirklich effektiv und sicher, sie zum Schutz von Nutzeranmeldungen zu benutzen, wenn dies mit den traditionellen Zugangsdaten wie Benutzername und Passwort kombiniert wird.

Nehmen wir den AppStore von Apple als Beispiel. Meldet sich ein Nutzer an, so werden – trotz der Überprüfung durch die Touch ID – der Benutzername und das Passwort des Nutzers immer noch über das Internet zwischen dem iOS-Gerät und dem Server übertragen. Dieselben sensiblen Daten werden also auf dem Server gespeichert, um passwortbasierte Logins zu überprüfen.

Leider bedeutet das, dass die Touch ID-Logins, inklusive derer, die von Apple genutzt werden, möglicherweise unsicher und angreifbar sind. Cyberkriminelle können die benötigten Nutzerzugangsdaten während der Übertragung mithilfe von Keyloggers, und Man-in-the-middle-Angriffen abfangen oder stehlen bzw. auch mit Malware ans Ziel gelangen.

Der Gebrauch von klassischen passwortbasierten Anmeldungen bietet ebenfalls reichlich Gelegenheit für Phishingangriffe, um nichts Böses ahnende Nutzer ins Visier zu nehmen und ihre Zugangsdaten mithilfe von gefälschten E-Mails und Webseiten zu ergattern. All diese Angriffsformen sind letztlich darauf ausgerichtet, gestohlene Zugangsdaten zu verwenden, um Server zu kompromittieren und ganze Datenbanken mit Nutzerdaten zu stehlen.

Somit können –  selbst wenn der Dienst von dem zusätzlichen Schutz durch die Touch ID profitiert – diese Zugangsdaten weiterhin gestohlen und für den Zugang zu anderen Diensten, bei denen die Touch ID nicht integriert ist, missbraucht werden, wenn der ursprüngliche Dienst weiterhin den klassischen Zugangsschutz mit Passwort verwendet. Sollte ein Fingerabdruck kopiert / geklont werden, bietet selbst die Touch ID für den ursprünglichen Dienst keinen zusätzlichen Schutz mehr.

Wie die Touch ID integriert werden kann, um Schwachstellen zu beseitigen und wirkliche Sicherheit für die Anmeldung zu bieten

Erfreulicherweise gibt es einen Weg, die Touch ID API zur Absicherung der Anmeldung zu integrieren, der diese Schwachpunkte umgeht und es Kriminellen physisch unmöglich macht, die Zugangsdaten der Nutzer zu stehlen. Zunächst können Entwickler Passwörter beseitigen sowie weitere sensible Zugangsdaten aus dem Anmeldeprozess durch die Verwendung einer Public Key Infrastructure (PKI) und einer Zwei Faktor Authentifizierung heraushalten.

Mit diesem Ansatz kann eine Anmeldung durch den Nutzer über eine mobile App oder Webseite erfolgen, und nur ein nicht vertraulicher Benutzername wird zur Auslösung des Anmeldevorgangs benutzt. Es wird weder ein Passwort eingegeben noch werden sensible Zugangsdaten während des Anmeldevorgangs übertragen oder auf einem Server gespeichert.

Stattdessen wird ein Paar asymmetrischer Schlüssel anstelle der Zugangsdaten verwendet. Ein öffentlicher Schlüssel wird verschlüsselt und auf dem Authentifizierungsserver gespeichert, und ein privater Schlüssel wird verschlüsselt und zur Authentifizierung auf dem Mobilgerät des Nutzers gespeichert.

Sobald der Nutzer den Anmeldevorgang auslöst, sendet der Authentifizierungsserver eine Challenge über eine mobile App an den Nutzer. Diese Challenge muss der private Schlüssel zur Authentifizierung nun digital signieren. Der Nutzer kann für die Authentifizierung die Touch ID zur Überprüfung der Identität und des rechtmäßigen Besitzes des privaten Schlüssels auf dem Gerät des Nutzers verwenden.

Außerdem kann der Touch ID-Fingerprint für zusätzlichen Schutz wahlweise mit einer vierstelligen PIN bzw. einem vierstelligen Passcode kombiniert werden, um den Zugriff auf den privaten Schlüssel zu überprüfen. Das bedeutet, dass Kriminelle sich nicht ohne Kenntnis von PIN oder Passcode authentifizieren können, selbst wenn sie es schaffen sollten, sowohl den Fingerabdruck des Nutzers zu klonen oder zu kopieren als auch das Mobilgerät des Nutzers zu stehlen.

Der Bequemlichkeit zuliebe sind Apple und andere Entwickler vielleicht gewillt, die Touch ID als alleinigen Schutz für Anmeldungen und Gerätezugriff zu verwenden, aber Entwickler, die eine wirkliche Sicherheit erreichen wollen, können  zusätzlichen Schutz ermöglichen, um sicher zu gehen, dass Angreifer niemals in der Lage sein werden, die Nutzerkonten zu kompromittieren.

Bei der Authentifizierung durch PKI wird die Touch ID lediglich genutzt, um die Identität und den Zugriff auf den privaten Schlüssel zu überprüfen und nicht zur direkten Authentifizierung. Es werden keine sensiblen Zugangsdaten übertragen oder gespeichert, was bedeutet, dass es ganz praktisch keine sensiblen Daten gibt, die Angreifer ins Visier nehmen könnten. Ebenso wenig existiert etwas, das Angreifer während der Übertragung oder von einem Server stehlen können.

Mithilfe dieses innovativen Ansatzes kann ein Entwickler völlig zu Recht behaupten, dass die Touch ID wirklich sicher ist.