Video: The iPhone 5s Touch ID hack in detail (Oktober 2024)
Det tog ikke lang tid. Apples iPhone 5S kom ud i sidste uge med en ny Touch ID-fingeraftrykssensor indbygget i Home-knappen. Kort derefter tweetede Nick DePetrillo (@NickDe) denne udfordring: "Jeg vil betale den første person, der med succes løfter en udskrift fra skærmen iPhone 5s, gengiver den og låser telefonen op <5 prøver $ 100." Hans istouchidhackedyet.com/ -websted inviterede andre til at sende deres egne tilbud. Nu, mindre end en uge senere, er der hævdet den kollektive belønning af bukke, bitcoins og sprut.
Og vinderen er...
I et blogindlæg dateret sidste lørdag meddelte Tysklands ærverdige Chaos Computer Club, at deres biometriske hacking-team med succes havde låst op en iPhone 5s ved hjælp af et falskt fingeraftryk. "Et fingeraftryk af telefonbrugeren, der er fotograferet fra en glasoverflade, var nok til at skabe en falsk finger, der kunne låse en iPhone 5s sikret med Touch ID, " sagde posten. "Dette demonstrerer - igen - at fingeraftryksbiometri er uegnet som adgangskontrolmetode og bør undgås."
DePetrillo annoncerede meget specifikke kriterier for at kræve dusøren: "Alt, hvad jeg beder om, er en video af processen fra tryk, løft, reproduktion og vellykket oplåsning med gengivet tryk." Mens CCC-videodemonstrationen ikke nøjagtigt matchede disse forhold, accepterede DePetrillo den som bevis.
Tallying the Booty
Vinderen af plyndringen, der går under navnet Starbug, planlægger at give den til en CCC-spinoff kaldet Raumfahrtagentur. Jeg beregnet lige hvad Starbug ville få, hvis hver deltager faktisk kom igennem med den lovede betaling. Det kontante beløb ville være $ 8, 364, 01, 100 euro, og bitcoin-ækvivalenten til en anden $ 2.779. Andre tilfældige tilbud inkluderer syv flasker vin og spiritus, en gratis patentansøgning om teknikken og en "beskidt sexbog."
Et tilbud på $ 10.000 dukkede op kort, men blev taget ned kort før hacknyhederne brød. En håndfuld af dem, der tilbyder kontanter, lægger faktisk pengene i escrow; disse beløb garanteres at blive betalt. I det mindste får Starbug $ 900 og 0.661 bitcoins. Vil du deltage i den crowdfunded-belønning? Du kan stadig gøre det ved at tweetet dit tilbud (minimum $ 50 eller 0, 4 bitcoin) til @IsTouchIdHacked.
Bekræftet af Lookout
Mark Rogers, en forsker ved San Francisco-baseret Lookout Security, formåede også at hacke Touch ID og offentliggjorde fulde detaljer i går. På trods af det faktum, at han formåede at hacke det, synes Rogers stadig Touch ID er "fantastisk."
Rogers påpeger, at det ikke er nemt at hacking Touch ID. Det "er afhængig af en kombination af færdigheder, eksisterende akademisk forskning og tålmodigheden fra en kriminalsceneekniker" for at fremstille et falsk fingeraftryk. Selv hvis du har de nødvendige færdigheder, er det ingen enkel sag. "Det er en langvarig proces, der tager flere timer og bruger udstyr over tusind dollars værd, inklusive et kamera med høj opløsning og laserprinter." Hans teknik skabte trykket på et kobberklædt plade, mens CCC brugte en gennemsigtighed. For faktisk at låse en telefon op, måtte han sætte det falske fingeraftryk fast på en fugtig finger.
Bekvem sikkerhed
Hvorfor er Touch ID stadig fantastisk? Rogers påpeger, at i øjeblikket halvdelen af alle iPhone-brugere ikke engang bruger en simpel pinkode, fordi det ikke er praktisk. Touch ID er på den anden side indbegrebet af bekvemmelighed. Det er noget, du allerede gør ved at trykke på knappen Hjem; tilføjelse af fingeraftryksgodkendelse til processen kræver ingen ekstra handlinger.
Hvad Rogers virkelig gerne vil se, er tofaktorautentisering - Touch ID plus en adgangskode, for eksempel. Han ser for sig et system, hvor du f.eks. Logger ind på din bank med et fingeraftryk, men indtast en adgangskode for faktisk at foretage en transaktion. Jeg er enig. Fingeraftryksgodkendelse er fejlbehæftet, fircifret PIN-godkendelse er defekt, men de to sammen skaber bedre sikkerhed.
Tidlige beskrivelser af Touch ID fik det til at lyde som om teknologien kun ville fungere med en ægte, levende finger eller tommelfinger. Det faktum, at et løftet tryk kan narre det, får mig til at undre mig, om vi talte for tidligt, da vi sagde, at en afskåret tommelfinger ikke ville fungere. Men jeg er ikke sikker på, at jeg vil høre nogen detaljer om forskning, der sigter mod den retning.
