Ein Hacker des Chaos Computer Club (CCC) konnte die Iris-Erkennung des Samsung Galaxy S8 erfolgreich austricksen, wie der Club auf seinem Blog berichtet. Das Samsung Galaxy S8 ist dem CCC zufolge das erste große Samsung-Flaggschiff mit Iriserkennung. Das Iris-Erkennungssystem stammt von dem Unternehmen Princeton Identity, welches basierend auf der Iris eine sichere Authentifizierung verspricht. Das Smartphone soll mit dem Iris-Scanner ausschließlich die Regenbogenhaut seines Besitzers auf Grundlage eines einzigartigen Musters erkennen.
Die Hacker konnten mit einer einfachen Attrappe das Samsung Galaxy S8 täuschen und führte zur Entsperrung. Nach Angaben des CCC-Sprechers Dirk Engling, sollten Nutzer, wenn ihnen ihre Daten wichtig sind auf den bewährten PIN-Code-Schutz zugreifen anstatt ihre eigenen körperlichen Merkmale zur Entsperrung einzusetzen. Der südkoreanische Konzern möchte die Iriserkennung in das eigene Bezahlsystem „Samsung Pay“ integrieren. Angreifer würden so nicht nur einen Zugriff auf das Smartphone erhalten, sondern könnten zugleich das Konto des Nutzers abräumen. Nach Einschätzung der CCC-Experten lösen biometrische Merkmale das Sicherheitsversprechen nicht ein, mit dem sie beworben werden.
Ein Biometrie-Dieb könne einen Smartphone-Besitzer um seinen Zugang für die Iriserkennung erleichtern. Er benötigt dafür nur brauchbare Fotos seiner Iris, die er mit deaktivierten Infrarotfilter oder im Nachtmodus fotografiert. Wenn alle Strukturen gut erkennbar sind, kann das Iris-Bild ausgedruckt und zur Entsperrung verwendet werden, ohne dass der Biometrie-Dieb überhaupt im Besitz des Bildes der echten Iris des Handyeigentümers ist. Über den Ausdruck legte der CCC-Hacker Starbug eine Kontaktlinse, um dem Scanner eine echte Iris vorzuspielen.
Die Sicherheit spielt für Nutzer eine immer wichtigere Rolle und wer ein Samsung Galaxy S8 oder S8 Plus besitzt, sollte nicht die Iris-Erkennung, sondern den PIN-Code-Schutz verwenden, um das Flaggschiff zu entsperren. Samsung dürfte das Sicherheitssystem überarbeiten, damit keine Kriminellen die Schwachstelle für ihre Zwecke ausnutzen und Eigentümer eines Samsung Galaxy S8 bestehlen können. Zu dem einfachen Entsperrtrick des Chaos Computer Club nahm Samsung bisher keine Stellung und dürfte noch ein wenig dauern.