Fingerabdruck-Sensor: Tochter kann Google Pixel 8 entsperren

Ursprünglich veröffentlicht: https://www.kuketz-blog.de/fingerabdruck-sensor-tochter-kann-google-pixel-8-entsperren/

Am vergangenen Wochenende habe ich mein Google Pixel 8 (GrapheneOS) wie üblich auf dem Schreibtisch liegen lassen. Als ich kurze Zeit später zurückkam, entdeckte ich unsere siebenjährige Tochter, die gerade durch die Bildergalerie wischte. Zuerst war ich überrascht und dachte: Habe ich das Gerät nicht gesperrt? Normalerweise erfolgt die automatische Sperrung doch nach 5 Sekunden. Es stellte sich heraus, dass sie in der Lage war, mein Gerät mit ihrem rechten Daumen zu entsperren. Weitere Recherchen ergaben, dass dieses Problem auftreten kann, wenn die Fingerabdrücke ähnlich sind und es zu sogenannten Kollisionen kommt. Diese Kollisionen können auftreten, wenn zwei Personen ähnliche…

2 „Gefällt mir“

Das ist eine Gefahr, die ich bis jetzt noch nicht bedacht habe.
Ist die Chance gering, vermutlich. Dennoch erschreckend.

Wobei ich in dem Kompromiss aus Sicherheit und Komfort noch immer zum Fingerabdruck tendiere.

Frage
In welchen Fällen kann das sein?
Nur bei genetisch Verwandten, also Eltern, Geschwister, Zwillingen, Kindern …
Oder auch bei wildfremden Personen?

Ist die Kollisionswahrscheinlichkeit generell erhöht, wenn mehr als ein Fingerabdruck eingespeichert ist? Oder gilt das nur für die mehrfach Hinterlegung des selben Fingerabdrucks?

Bei nahen Verwandten ist die Wahrscheinlichkeit höher, als bei fremden Personen.

Je mehr Fingerabdrücke (auch von anderen Fingern) hinterlegt sind, desto höher ist die Wahrscheinlichkeit von Kollisionen.

2 „Gefällt mir“

Ist das denn ein Problem, das generell Auftritt oder wird es durch optische Sensoren verstärkt, bzw bei Ultraschallsensoren nicht auftritt? (Ähnlich wie bei Gesichtserkennung per Bild oder mit Tiefensensor)

Würde mich auch interessieren ob das OS einen Unterschied macht oder ob dies ein Hardware Ding ist.

Melde das mal beim Chaos Computer Club, Heise und Computer Bild. Was du da hast isr wissenschaftlich interessant, und die reichen das weiter.

Sehr wertvolle Information und seltsam, dass das bisher nicht diskutiert wurde … die Dinger sind doch schon ein Jahrzehnt im Einsatz und dürften anfangs noch problematischer gewesen sein.

Mich wundert in praxi immer, dass das iPhone schwer mit dem Fingerabdruck zu öffnen ist, die Bankanwendungen aber den Fingerabdruck schon fast erkennen bevor der Finger draufliegt … .

Der tatsächlich meistgefürchtete Super-GAU ist aber also nicht zu befürchten, nämlich dass der/die/das LebenspartnerIn zugreift … obwohl … naja, und nun könnten aber die Kinderfinger als „Schlüssel“ missbraucht werden.
Komm wir machen da mal ein lustiges Spiel mit Fingerfarbe … :wink:

Hallo zusammen,

als ich den Beitrag gelesen hatte, war ich ziemlich verwundert, dass Mike bzw. seine Familie den Fingerabdrucksensor des Handys nutzt. Ich bin bisher davon ausgegangen, dass der Fingerabdruck nicht lokal, sondern irgendwo in der Cloud gespeichert wird. Aus diesem Grund habe ich bisher immer eine lange PIN benutzt um das Handy zu entsperren.

Aus diesem Grund wollte ich nochmal fragen, ob der biometrische Abdruck wirklich nur lokal im Handy gespeichert wird, oder doch irgendwo hingesendet wird?

Ich würde an diese Frage gerne noch anschließen: Wie kann man überprüfen, dass der Fingerabdruck ausschließlich lokal gespeichert wird und nicht doch irgendwo hin gesendet wird (Cloud etc.)?

Sowohl bei GrapheneOS als auch bei regulären Android-Versionen - also, dass weder das OS selbst noch (fremde) Apps den Fingerabdruck versenden können?

Das wird er natürlich nicht. Der Fingerabdruck wird lokal in einer sog. Trusted Execution Environment (TEE) verschlüsselt gespeichert.

Bei der Authentifizierung wird das vom Sensor erfasste Fingerabdruckmuster mit dem gespeicherten verschlüsselten Template verglichen. Dieser Vergleich findet im TTE-geschützten Bereich des Gerätes statt, um die Integrität und Sicherheit des Verfahrens zu gewährleisten. Ist der Abgleich erfolgreich, wird der Zugang zum Gerät oder zu bestimmten geschützten Funktionen gewährt. Der wichtige Punkt ist, dass Android das TEE auffordern kann, die Identität anhand der biometrischen Daten zu überprüfen, aber es kann die biometrischen Daten nicht extrahieren.

Ich schreibe mal einen Beitrag dazu, der die Punkte aufgreift und noch dazu das persönliche Risikoprofil berücksichtigt.

4 „Gefällt mir“

Das wäre toll.
Aber bitte auch klären: Reicht evtl. ein Häkchen setzen für Kenner/Hersteller des Betriebssystems, um die Daten DOCH auslesen zu können?
Und: Gibt es dazu eine „unabhängige“, also Nicht-US-Begutachtung?

1 „Gefällt mir“

@kuketzblog Gäbe es bitte noch ein Möglichkeit zu erläutern, ob und inwieweit Android-Schadsoftware („Viren“) irgendwie die Daten extrahieren könnten?

Bzw. ob man abgewandelten Android-Versionen / mobilen OS, die Closed Source sind, trauen kann? (z.B. Fire OS, iOS, etc.)
Und auch bei Android ist nicht alles Open Source?
https://medium.com/@coopossum/how-open-source-is-android-8d1815b9a42d

Ich habe leider (:grin:) kein Google Konto. Hat schon mal jemand Werkseinstellung/Reset gemacht, dann über Google wiederhergestellt, und dann hat das alte Muster/Gesicht/Fingerabdruck funktioniert? So würde ich das untersuchen, (hätte ich doch ein Google Konto).

Update.

Und ein praktisch denkender Mathematiker hat die Schnittmenge beider als Kriterium zugelassenen :grin:

Wenn du über Fingerabruck einen Beitrag schreibst dann berücksichtige bitte auch das von mir hier im Forum angesprochene bayerische Urteil und die dazu passende App von Fdroid.

Das habe ich noch nicht probiert, nutze kein Google-Backup, nur mal Pin-Sperre per adb auf diesem Pixel 6 Pro gelöscht, um zu probieren, ob das noch funktioniert.

Danach mußten auch die Fingerabdrücke neu angelernt werden.

Bei meiner Frage ging es darum ob Google den Fingerabdruck hat.

Und genau das wird (insbesondere hier, sonst wäre das nicht nur hier Thema gewesen,) Dir keiner beantworten können, und selbst wenn sie nach Einspielung eines Cloud-Backups nicht funktionierten, hieße das nicht, daß Google sie nicht doch hat.

(OT:
Falls Du mir helfen kannst, ein vollständiges Backup eines 10er Androiden auf dem Gerät, von dem es stammt), zu mounten(Entsperr-Pin ist bekannt), kann ich Dir danach sagen, ob die Fingerabdrücke mit da drin gewesen sind.)