![[Translate to German:] Biometric Authentication via handprint](/fileadmin/_processed_/f/d/csm_sec-consult-h-biometric-handprint-kl_38fee2a0c2.jpg)
Die riesige Smartphone Nutzung erhöht die Notwendigkeit, Apps bereitzustellen, die "Stand der Technik"-Mechanismen zur Absicherung von Benutzerdaten verwenden. Zur lokalen Datensicherung kann hierzu die biometrische Authentifizierung genutzt werden.
In Sicherheitsüberprüfungen von mobilen Apps, die wir als Security Consultants für unsere Kunden durchführen, stoßen wir häufig auf Apps, die eine biometrische Authentifizierung beinhalten. Häufig ist es jedoch möglich diese Authentifizierung zu umgehen, da sie unsicher implementiert ist - sofern einige Voraussetzungen erfüllt sind. Aufgrund dieser Voraussetzungen ist es wichtig, direkt am Anfang dieses Blogposts zu betonen, dass ein Angreifer hierfür Root-Berechtigungen auf dem Gerät des Opfers benötigt oder in der Lage sein muss, das Opfer dazu zu bringen, eine modifizierte Version einer App zu installieren, und physischen Zugriff auf das Gerät hat.
Bisherige Research hat gezeigt, dass Umgehungen möglich sind, wenn die biometrische Authentifizierung nicht sicher implementiert wird. Dieses Problem betrifft sogar Apps, die damit werben, eine hohe Datensicherheit zu bieten. In unserem englischsprachigen Blogpost werden wir das Thema der biometrischen Authentifizierung in Android, verfasst von unserem Sicherheitsexperten für "Mobile Security" Leonard Eschenbaum, beleuchten und zeigen, wie diese umgangen werden kann. Dieses Thema ist auch im OWASP Mobile Security Testing Guide (MASTG) in MSTG-AUTH-8 reflektiert und ist daher ein obligatorischer Punkt bei der Sicherheitsbewertung von Mobilen Apps.