Vier Sicherheitsforscher haben schwere Sicherheitslücken bei aktuellen Fingerabdrucksensoren entdeckt. Viele Hersteller sichern die heiklen biometrischen Daten unzureichend.

Zahlreiche moderne High-End-Smartphones sind mit Fingerabdrucklesern ausgestattet. So soll das Gerät rasch entsperrt oder Zahlungen in Apps bestätigt werden. Eigentlich praktisch, doch die biometrische Sicherheitsmaßnahme wird immer wieder als unsicher kritisiert. So jetzt auch vom IT-Sicherheitsunternehmen FireEye, das eine schwerwiegende Lücke beim HTC One Max entdeckt hat (PDF). Dabei wurden die aufgenommenen Fingerabdrücke in einem öffentlich abrufbaren Ordner im BMP-Format auf dem Smartphone gespeichert.

Die Angreifer hätten leichtes Spiel, sie müssten lediglich die Datei kopieren und mit einem Ausdruck für den Scanner lesbar machen. Da der Fingerabdruck bei jedem erfolgreichen Entsperrversuch neu abgespeichert wird, kann der Angreifer sogar seine Datenbank ausbauen und ein Portfolio an verschiedenen Aufnahmen speichern. Umgekehrt sei es so ebenfalls möglich, seinen eigenen Fingerabdruck einzuschleusen und sich Zugang zum Gerät zu verschaffen.