Video: iPhone 5S Touch ID Fingerprint Hack & iOS 7 Passcode Bypass - Major Security Flaws (Septembra 2024)
Netrvalo to dlho. Apple iPhone 5S vyšiel minulý týždeň s novým snímačom odtlačkov prstov Touch ID zabudovaným do tlačidla Domov. Krátko nato si Nick DePetrillo (@ NickDe) tweetol túto výzvu: „Zaplatím prvému človeku, ktorý úspešne zdvihne tlač z obrazovky iPhone 5s, reprodukuje ju a odomkne telefón za menej ako 5 pokusov o 100 dolárov.“ Jeho web istouchidhackedyet.com/ vyzval ostatných, aby zverejnili svoje vlastné ponuky. Teraz, o necelý týždeň neskôr, bola požadovaná kolektívna odmena za babky, bitcoíny a chlast.
A víťazom je...
Nemecký ctihodný počítačový klub Chaos v blogu, ktorý sa konal minulú sobotu, oznámil, že jeho tím hackerov v oblasti biometrie úspešne odomkol iPhone 5 pomocou falošného odtlačku prsta. „Odtlačok prsta používateľa telefónu fotografovaný zo skleneného povrchu stačil na vytvorenie falošného prsta, ktorý by mohol odomknúť iPhone 5s zabezpečený pomocou Touch ID, “ uviedol príspevok. „To znova dokazuje, že biometria odtlačkov prstov je nevhodná ako metóda kontroly prístupu a malo by sa jej vyhnúť.“
DePetrillo oznámil veľmi špecifické kritériá pre nárok na odmenu: „Všetko, čo žiadam, je video o procese z tlače, výťahu, reprodukcie a úspešného odomknutia s reprodukovanou tlačou.“ Aj keď demonštrácia videa CCC presne nevyhovovala týmto podmienkam, spoločnosť DePetrillo to akceptovala ako dôkaz.
Sťahovanie koristi
Víťaz lupu, ktorý má meno Starbug, plánuje dať ho CCC spinoff zvanému Raumfahrtagentur. Vypočítal som presne to, čo by Starbug získal, keby každý účastník skutočne prišiel so sľúbenou platbou. Celková hotovosť by bola 8 364, 01 dolárov, 100 eur a ekvivalent bitcoínov ďalších 2 779 dolárov. Medzi ďalšie náhodné ponuky patrí sedem fliaš vína a likérov, bezplatná patentová prihláška na túto techniku a „kniha o špinavých sexoch“.
Krátko sa objavila ponuka 10 000 dolárov, ale krátko predtým, ako sa rozbili hackové správy, bola stiahnutá. Hrsť z tých, ktorí ponúkajú hotovosť, skutočne dala peniaze do úschovy; tieto sumy sú zaručené na zaplatenie. Prinajmenšom získa Starbug 900 bitov a 6, 661 bitcoínov. Chcete sa zúčastniť na crowdfundovanej odmene? Stále to môžete urobiť zdvojením ponuky (minimálne 50 alebo 0, 4 bitcoínu) na adresu @IsTouchIdHacked.
Potvrdené službou Lookout
Mark Rogers, vedecký pracovník spoločnosti Lookout Security v San Franciscu, sa včera dokázal hacknúť na Touch ID a zverejniť všetky podrobnosti. Napriek tomu, že sa mu to podarilo hacknúť, Rogers si stále myslí, že Touch ID je „úžasné“.
Rogers zdôrazňuje, že hackovanie Touch ID nie je ľahké. Pri výrobe falošného odtlačku prsta „sa spolieha na kombináciu zručností, existujúci akademický výskum a trpezlivosť techniku scénického zločinu“. Aj keď máte potrebné zručnosti, nejde o jednoduchú záležitosť. „Je to zdĺhavý proces, ktorý trvá niekoľko hodín a používa zariadenie v hodnote viac ako tisíc dolárov vrátane fotoaparátu s vysokým rozlíšením a laserovej tlačiarne.“ Jeho technika vytvorila tlač na doske z medeného plátna, zatiaľ čo CCC používala priehľadnosť. Aby skutočne odomkol telefón, musel nalepiť falošný odtlačok prsta na vlhký prst.
Pohodlná bezpečnosť
Prečo je Touch ID stále úžasné? Rogers zdôrazňuje, že v súčasnosti polovica všetkých používateľov iPhone dokonca nepoužíva jednoduchý PIN, pretože to nie je vhodné. Na druhej strane Touch ID je stelesnením pohodlia. Stlačením tlačidla Domovská stránka už niečo urobíte; pridanie autentifikácie odtlačkom prsta do procesu nevyžaduje žiadne ďalšie akcie.
Rogersovi by sa skutočne páčilo dvojfaktorové overenie - napríklad Touch ID a prístupový kód. Predstavuje si systém, v ktorom by ste sa napríklad prihlásili do svojej banky pomocou odtlačku prsta, ale ak chcete uskutočniť transakciu, zadajte prístupový kód. Musím súhlasiť. Autentifikácia pomocou odtlačku prsta je chybná, autentifikácia pomocou štvorciferného kódu PIN je chybná, ale tieto dve spolu zabezpečujú lepšiu bezpečnosť.
Prvé popisy Touch ID spôsobili, že to znie, akoby táto technológia fungovala iba so skutočným, živým prstom alebo palcom. Skutočnosť, že zdvihnutá tlač môže oklamať, ma zaujíma, či sme hovorili príliš skoro, keď sme povedali, že oddelený palec nebude fungovať. Nie som si však istý, či chcem počuť nejaké podrobnosti o výskume zameranom týmto smerom.
