Android 6.0 „Marshmallow“ steht vor der Tür und mit der neuen Version auch zwei neue Nexus-Geräte mit Fingerabdrucksensor. Richtig umgesetzt bringen diese etwas mehr Sicherheit und deutlich mehr Bequemlichkeit auf Android. Doch es gibt auch Gefahren — echte und Panikmache. Android User klärt auf.
Als wir gestern die neuesten Leak zu den zwei Nexus-Geräten Nexus 5X und Nexus 6P veröffentlichten, meldeten sich mehrere Stimmen kritisch, was den Fingerabdrucksensor (FAS) in den Marshmallow-Geräten anbelangt. „Da muss man doch aufpassen, dass nicht ungewollt der eigene Fingerabruck registriert wird!“ lautete in etwa das Credo der skeptischen Kommentare. Doch ist da überhaupt etwas daran? Und wie funktioniert die Technik unter Android überhaupt?
Seit 2011 unter Android
FAS unter Android ist keine Neuheit: Mein Motorola Atrix 4G kann das schon seit 2011 und ich habe den Fingerprint-Reader auch eine Zeit lang aktiv genutzt. Die Umsetzung von Motorola war jedoch nicht ganz perfekt. Man hat einen zeilenbasierten Reader eingebaut, wie man diesen von vielen Business-Laptops her kennt. Um einen Finger zu registrieren und um das Gerät zu entsperren, musst du also mit der Fingerkuppe über den Sensor wischen. Vorteil dieser Lösung aus Paranoia-Sicht: Wenn du keinen Fingerabdruck registrierst, ist es recht schwierig, deinen Finger im Hintergrund zu scannen. Denn üblicherweise wird der Power-Button einfach gedrückt. Die für einen kompletten Scan nötige Wischbewegung nimmt man so nie vor.

Die Nachteile der Wischbewegung überwiegen aber aus Anwendersicht. Auch wenn das Entsperren oft beim ersten Mal gelang, brauchte ich manchmal auch drei oder mehr Anläufe. Das nervt!
Motorola war denn auch lange Zeit die einzige Firma mit einem Fingerprintreader in einem Smartphone, bis Apple mit dem iPhone 5 das Rad neu erfand. Ein FAS, über den man nicht wischen muss, sondern den Finger einfach drauflegt. Hier wird der Abdruck also nicht zeilenweise gescannt, sondern komplett. A wie Apple, ergo A wie Amazing!
Seither haben viele Hersteller die iPhone-Lösung übernommen und einen modernen FAS eingebaut, der keine Wischgeste benötigt. Den unserer Meinung nach besten FAS verbaut aktuell Huawei in seinen Geräten, dazu weiter unten mehr. Doch nicht alle Android-Hersteller benutzen die moderne, bequemere Lösung: Samsung wählte zum Beispiel für das Galaxy S5 ebenfalls eine „alte“ Technik mit Wischgeste, wohl um den flachen Home-Button beizubehalten.

Fingerprint Reader ist praktisch!
Zunächst mal die wichtigste Information vorweg: Ein FAS ist eine wirklich praktische Sache, die dein Handy sicherer macht. Warum sicherer? Weil man beim über die Schulter schauen eben nicht erkennen kann, ob du nun ein Smartphone ohne Lockscreen benutzt oder es mit Fingerprint Scanner entsperrt hast, vom Mitlesen der PIN oder eines Entsperrmusters ganz zu schweigen.
Ich bezahle zum Beispiel an der Kasse im Supermarkt lieber mit meiner Kreditkarte als mit der EC-Karte. Denn bei der EC-Karte muss ich den PIN-Code eintippen. Dabei kann mir jeder zuschauen oder ich muss das Terminal geschickt mit der Hand verdecken. Bei der Kreditkarte unterschreibe ich einfach den Kassenzettel. Ein Dieb muss also meine Unterschrift fälschen, wenn er mit der geklauten Karte bezahlen will. Auch hier kann man sich streiten, welche Lösung sicherer ist, bequemer ist für mich eindeutig die Unterschrift. Den per Post vor Jahren erhaltenen PIN-Code meiner Kreditkarte habe ich mir nie gemerkt, ich kenne ihn gar nicht.
Genau so beim Handy: Wie vielen Leuten habe ich schon beim Entsperren ihres Smartphones — ungewollt — zugeschaut und konnte mir gleich den PIN, das Muster oder sogar das Passwort merken. Das ist alles andere als sicher. Bei einem guten Sensor wie im Mate 7 oder im neuen Mate S von Huawei geht das Entsperren via Fingerprint hingegen so schnell, dass die meisten Leute überhaupt nicht mitbekommen, was abläuft.
Damit das funktioniert, musst du mindestens einen Finger registrieren. Welchen du dazu auswählst, ist dir überlassen. Für das Setup sind rund fünf Versuche notwendig, bei denen du den Finger absichtlich und schön auf den Sensor legst. Du musst zudem in jedem Fall auch einen vierstelligen PIN-Code als Backup-Lösung eingeben. Mit diesem steht und fällt die Sicherheit deines Smartphones, falls dein Handy in die Finger eines Diebes gerät. Der PIN-Code ist nicht nur für den Fall gedacht, dass dein Zeigefinger einer Kreissäge zum Opfer fällt. Es genügt bereits etwas Gartenarbeit oder ein Kettenwechsel beim Fahrrad, um die Sensoren aus dem Tritt zu bringen und den Fingerabdruck vorübergehend unbrauchbar zu machen.
Wer täglich oder wöchentlich Apps, Musik oder Filme im Play Store einkauft, muss zudem nicht das Google-Passwort eingeben, sondern kann hier einfach den Fingerabdruck benutzen. Dadurch kann man ein kompliziertes Passwort für das Google-Konto einsetzen und muss die Passwort-Abfrage nicht auf eigene Gefahr ausschalten.

Wo liegt das Sicherheitsrisiko?
Gegner von Fingerprint-Readern bringen immer die gleichen Argumente ins Spiel: Wenn ein Finger kompromittiert ist (also der Abdruck bekannt), dann bleiben nur noch neun. Bei Passwörtern gibt es hingegen eine endlose Auswahlmöglichkeit. Zudem sei der Fingerabdruck nicht sicher, weil er sich einfach kopieren lässt. Last but not least gibt es die Befürchtung: Malware oder Apps von Nachrichtendiensten könnten ungefragt die Fingerabdrücke registrieren und so eine Fingerabdruck-Datenbank aufbauen.
An diesen Argumenten ist in der Tat etwas dran: In Malaysien wurde einem Mercedes-Besitzer ein Finger abgehackt, um damit den Immobilizer seiner S-Klasse zu deaktivieren und zahlreichen Hackern ist es bereits gelungen, den FAS des iPhone 5 und anderer Smartphones mit einer Kopie eines Fingerabdrucks zu überlisten. Last but not least haben Forscher von FireEye auf der diesjährigen Black Hat Konferenz gezeigt, dass sich die Fingerabrücke problemlos mit einer Schadsoftware auslesen lassen (PDF). Einmal installiert kann eine solche Schadsoftware sogar stets den neuesten Fingerabdruck registrieren.
Beim Durchlesen des kompletten Berichts fällt aber schnell auf, dass hier die Hersteller (erwähnt sind Samsung und HTC) zum Teil massiv geschlampt haben. Einen kompletten Fingerabdruck mit den Unix-Dateirechten rw-rw-rw- in einem von jedem Nutzer lesbaren Verzeichnis abzulegen, wie das HTC beim HTC One Max gemacht hat, das geht einfach gar nicht! Wie bei einem Passwort dürfen niemals die eigentlichen Credentials in einem unverschlüsselten Format auf dem Gerät abgespeichert sein, sondern diese Daten müssen — optimalerweise via dedizierten Crypto-Chip — verschlüsselt werden, sodass das System lediglich Hash-Wert gegen Hash-Wert abgleicht.

Zweitens sind die meisten der von FireEye geschilderten Angriffe nur mit Root-Rechten möglich, etwa das Einbauen einer Backdoor im Bootmanger oder das Hinterlegen eines zusätzlich registrierten Fingerabdrucks ohne Wissen des Anwenders.
Wie Android 6.0 „Marshmallow“ die eingescannten Fingerabdrücke genau handhabt, dazu haben wir in der Entwicklerdokumentation keine Informationen gefunden, der Fingerabdruck selbst wird aber in jedem Fall als (verschlüsseltes) Cryptoobjekt gehandhabt. Ebensowenig ist aktuell bekannt, ob die Treiber für die im LG Nexus 5X und im Huawei Nexus 6P verbauten Sensoren freie Software sind oder proprietäre Binaries. Hier wissen wir hoffentlicht schon bald mehr!
Muss ich Angst vor einem Fingerabdrucksensor haben?
Ja, klar! Aber nicht mehr als vor der Frontkamera oder dem eingebauten Mikrofon deines Smartphones, vor dem Herzfrequenzsensor deiner Smart Watch oder vor deinem Smart TV und vor der neuen Waschmaschine. Die Chance, dass dein Fingerabdruck für irgendwelche kriminelle Machenschaften missbraucht wird, erhöht sich mit dem Einsatz eines Smartphones mit FAS nur marginal. Denn Fingerabdrücke lassen sich recht einfach auch auf anderem Wege beschaffen.
Zudem ist das Feature zum automatischen Entsperren oder Bezahlen von Apps auf allen aktuell verfügbaren Android-Geräten in der Grundeinstellung deaktiviert. Wenn du also ein neues Smartphone mit Fingerabdrucksensor kaufst, bedeutet das nicht automatisch, dass du den Sensor auch benutzen musst.
Theoretisch besteht aber klar eine Gefahr, dass jemand ungewollt deine Fingerabdrücke via Hardware und Software registriert, dieses Risiko schätze ich persönlich aber als sehr gering ein und es lässt sich praktisch auf Null reduzieren, wie du im folgenden Absatz lesen kannst.
Ich bin aber paranoid oder so…!
Zunächst solltest du auf deinem Handy die von Android bereitgestellte Verschlüsselung des Dateisystems wählen. Dadurch sind die eingescannten Fingerabdrücke auch dann sicher, wenn der Hersteller bei der Umsetzung geschlampt hat. Das gilt allerdings nur, wenn dein Handy ausgeschaltet bzw. nicht entsperrt ist. Denn im aktiven Gebrauch lassen sich ja alle Daten auf dem Handy lesen.
Wenn du Angst davor hast, dass der Hersteller deines Smartphones oder ein Dritter deine Fingerabdrücke ungefragt auslesen könnte, dann solltest du ein Smartphone wählen, bei dem der FAS nicht gleichzeitig der Home-Button ist, also nicht das Galaxy S5/S6 und nicht das Xperia Z5. Denn so kannst du das Handy ganz normal benutzen, ohne jemals den Fingerprint Scanner zu betätigen.

Wenn es für dein Smartphone ein Custom-ROM oder einen alternativen Kernel gibt, dann kannst du diesen Einsetzen, um den FAS als Hardware auszuschalten. Ohne entsprechenden Treiber für den Linux-Kernel ist der Sensor tot. Selbst eine fiese Malware kann ihn nicht einfach so einschalten.
Wenn du auf die Bequemlichkeit eines Fingerprint Readers nicht verzichten möchtest, aber dennoch nicht deine Fingerabdrücke preisgeben möchtest, kannst du — je nach Sensor — auch eine andere Stelle deiner Hand scannen (siehe Video).
Fazit
Ein Fingerabdruckscanner ist eine feine Sache und macht — richtig umgesetzt — das tägliche Handling des Smartphones bequemer und auch sicherer, da man sich keine komplizierten Passwörter merken muss. Die wissend oder unwissend eingescannten Fingerabdrücke zu missbrauchen, ist aber auch keine große Kunst, vor allem wenn der Hersteller bei grundlegenden Sicherheitsvorkehrungen seine Hausaufgaben nicht gemacht hat. Insofern ist der offizielle Support von Android 6.0 Marshmellow für Fingerabdrucksensoren ein großer Fortschritt, gravierende Fehler einzelner Hersteller lassen sich damit in naher Zukunft hoffentlich vermeiden. Die neuen Nexus-Geräte haben den Fingerprint-Reader nicht im Home-Button integriert, was in jedem Fall besser ist. Denn so kannst du den Sensor einfach links liegen lassen, wenn du ihn nicht benutzen willst. Für Nexus-Geräte gibt es zudem immer recht schnell eigne Kernel und Custom-ROMs. Dort lässt sich die Hardware auf Kernel-Ebene ausschalten. Für alle Android-Anwender, die sich keine komplizierten Passwörter oder Muster merken möchten/können, ist der Fingerabdrucksensor genau die richtige Lösung, um für etwas mehr Sicherheit zu sorgen!
Wie der Einsatz von Fingerprint-Scannern unter Android in der Praxis aussieht, zeigt dir unser Video:

Naja, sich darauf zu verlassen, dass es die Hersteller jetzt immer richtig implementieren, geht wohl am Thema vorbei, wenn man nicht weiß, wie es implementiert wird (ob mit Herstellerbackdoor, staatlich erzwungenem Backdoor, etc. gleiches gilt für die Verschlüsselung des Benutzeraccounts). Sorry, aber die ganze Snowden-Geschichte hat doch gezeigt, dass die „Paranoiker“ Recht hatten und haben. Ein Fingerabdrucksensor ist somit nichts weiter als ein (wahrscheinlich vergiftetes) Komfortmerkmal für Leute mit „ich bin klein, mein Herz ist ist rein“-Einstellung. Daher: Danke für die Tipps, wie man das Ding stillegt ;-)