Обойти защиту сканера отпечатков iPhone 5S
Совсем немного времени прошло с начала продаж нового айфона, а в интернете уже есть инструкции, как обмануть его дактилосканер. Достаточно добыть отпечаток пальца владельца в хорошем разрешении. Этот занимательный случай и немного о том, стоит ли вообще использовать биометрию для защиты информации.
Именно на TouchID замкнуты в iPhone 5S все действия, требующие подтверждения личности: разблокировка телефона, банковские операции, доступ к почте и т.п. На сайте Chaos Computer Club появилась заметка о том, что им удалось перехитрить защиту устройства. На приложенном видео человек регистрирует в смартофоне отпечаток своего пальца, а затем успешно проходит аутентификацию при помощи кусочка латексной плёнки, помещённой на тот же палец. В той же записи нам заботливо предоставили пошаговую инструкцию, как получить чёткие отпечатки и изготовить фальшивые из столярного клея.
Click to viewВ пояснении говорится, что всё было сделано с использованием самых доступных технологий и материалов. Отпечаток пальца, оставленный на стеклянной поверхности, сфотографировали в высоком разрешении, изображение почистили и распечатали на прозрачном листе. Был использован обычный лазерный принтер (если замечали, он даёт некоторый рельеф текста на бумаге) с настройками максимального расхода тонера. На получившийся объёмный рисунок нанесли слой жидкого латекса. После высыхания, латексную плёнку отделяют от листа и фальшивый отпечаток готов к использованию. Остаётся лишь подышать на накладку, чтобы ёмкостный сенсор среагировал на неё как на настоящий палец.
Технология с принтером отличается простотой, но узор получается неглубоким, что CCC сочли ненадёжным и выложили ролик с улучшенной версией. На Youtube её не оказалось, для любопытных есть здесь.
На сайте Роберта Дэвида Грэхема “Is Touch ID Hacked Yet?” ("Взломан ли уже Touch ID?") было объявлено вознаграждение на сумму $20,000 наличными, биткойнами и прочими призами тому, кто первым обойдёт защиту iPhone 5S. Недавно факт успешного взлома был подтверждён. За достижение ответственен Starbug.
Сейчас там значится "Yes!"
У Chaos Computer Club обладает репутацией одной из старейших и наиболее уважаемых хакерских групп в мире. Как утверждают взломщики, с небольшими изменениями, этот метод позволяет обмануть подавляющее большинство сканеров отпечатков на рынке. Сенсоры Apple считывают рисунок в более высоком разрешении нежели другие, но эта проблема легко решается более высоким разрешением картинки.
В CCC давно занимаются исследованиями в области безопасности и Starbug считает, что отпечатки пальцев вообще не следует использовать для защиты доступа: "Мы оставляем их повсюду, их слишком легко получить и подделать." Это пароль, который мы вынуждены записывать на всём, что подвернётся под руку и который, к тому же, не можем при желании изменить. Во многих странах информация в паспорте включает изображения отпечатков пальцев. По словам Frank Rieger, публичного представителя CCC, проблема биометрических данных не только в простоте фальсификации: "Обществу пора перестать вестись на ложные убеждения в надёжности, распространяемые биометрической индустрией. Биометрия - это технология, изначально разработанная для подавления и контроля, а не для защиты доступа к бытовым устройствам." В большинстве юрисдикций, заставить человека сказать пароль гораздо сложнее, чем просто приложить его руку к телефону.
Источники:
http://nymag.com/daily/intelligencer/2013/09/iphone-5s-fingerprint-sensor-already-hacked.html
http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid