Sledujte nás na YouTube

Chaos Computer Club prolomil senzor otisků prstů Apple Touch ID

Za prakticky největší lákadlo pro zájemce o nový iPhone 5S by se dala považovat čtečka otisku prstů a nová zlatá úprava konstrukce. A zatímco si nové iPhony teprve rozbalují první kupci, kteří si poctivě vystáli frontu před Apple Store, skupina hackerů už jim stihla zkazit radost prolomením zabezpečení Touch ID. Chaos Computer Club, jak si skupina říká, zveřejnil na svém webu video, na kterém jeden z členů takové neautorizované odemčení názorně předvede.

Video doprovází i poměrně zajímavý článek, ve kterém se autoři zmiňují, že bychom se měli přestat nechat tahat za nos povídkami o neoblomnosti biometrického zabezpečení. Na celém světě sice nenajdete nikoho se stejným otiskem prstu, zároveň však ani ten svůj nemůžete změnit a po celý život tedy musíte spoléhat na jedno jediné heslo (vzpomeňte si schválně kolikrát jste už měnili heslo od emailové schránky). A zatímco své běžné heslo asi jen tak na potkání nerozhlašujete, otisky necháváte naprosto všude od kuchyňského nádobí po samotný telefon – je to tedy podobná situace jako kdybyste si na kreditní kartu napsali fixou PIN.

Apple se během keynote chlubil tím, že jejich Touch ID je lepší než kterákoliv dosud používaná daktyloskopická technologie. Chaos Computer Club ale prozrazuje, že je lepší jen v rozlišení senzoru, ale funguje na stejném principu jako všechny ostatní čtečky. K prolomení tedy stačilo zvýšit rozlišení falešného otisku, který se dá vyrobit pomocí běžně dostupných materiálů (autoři vydali i pěkný ilustrovaný návod jak takový otisk získat a reprodukovat).

Hackeři trvají na tom, že by společnosti z biometrického průmyslu neměly dále vyvolávat v lidech falešnou důvěru v tento typ zabezpečení. Daktyloskopie je dle nich metoda vyvinuta za účelem kontroly a omezování lidí (ať už v dobrém či zlém slova smyslu), a nikoliv zabezpečení citlivých dat a zařízení. Skupina dále nedoporučuje uživatelům iPhone 5S, aby preferovali Touch ID před klasickým zabezpečením pomocí číselného kódu i z toho důvodu, že je mnohem snadnější donutit uživatele odemknout telefon proti jeho vůli. Když už se tahle funkce nezdá být ve skutečnosti tak úžasnou, doufejme že alespoň ta zlatá barva vydrží o něco déle.

Ruslan Botsyurko

Lékař, fotograf, redaktor, DJ, webdesigner, nevyléčitelný perfekcionista a bezmezný nadšenec do všech možných technologií, který od malička běhá po světě se šroubovákem (no dobrá, nyní spíše se skalpelem :)) a snaží se přijít na to, jak věci kolem fungují.

30 komentářů

  1. Fore (neregistrovaný)

    A kolik z těch, co si nový iPhone 5Same koupí, vůbec nějaké takové články čtou?

  2. Simon (neregistrovaný)

    Dobré ráno, takto sa odtlačok prsta dá „nahradiť“ už dávno, to akurát Apple sa o tom nevyjadril :D

  3. ejdy (neregistrovaný)

    kehoooo

  4. mino (neregistrovaný)

    A? Ved už po predstavení bolo (neoficiálne) povedané že odtlačok nieje kvôli bezpečnosti ale pohodliu

  5. uni (neregistrovaný)

    Co je to zase za bláboly? Obejít iTouch a biometrický senzor jsou dvě dost odlišné věci. Zatímco biometrické zabezpečení obejde prakticky obrázek, zde je postup značně složitější, navíc k danému obejití potřebujete jako zdroj sejmout otisk v opravdu vysoké kvalitě, což např. otisk na sklenici neposkytne. Příměr s napsaným pinem na platební kartě je pak už úplně mimo.

    Jak píše Fore, snad to moc příp. kupci tento nesmysl nečtou.

    Ale ano, někdo objevil „Ameriku“, že se to dá obejít. To snad nikoho nepřekvapí:-)

    • fcsa (neregistrovaný)

      Teoreticky tam ta možnost existuje, ale v praxi realizovatelné velmi obtížně a to navíc za nutné spoluúčasti majitele telefonu, který si musí nechat sejmout otisk ve vysokém DPI.

    • uni (neregistrovaný)

      Právě, ten návod (btw. z roku 2004….) se zaobírá postupem pro obelstění biometrické čtečky, s iTouch nemá nic společného. Jak píši, z poloviny článek o blábolech.

    • Martin II (neregistrovaný)

      @UNI: Ale oni to urobili na iPhone5S. Teda prelomili iTouch. Pozri si video, nie fotky.

    • Geary (neregistrovaný)

      K odemčení otiskem stačí moje přítomnost, pomocí hesla už je potřeba moje vůle. Aby se člověk bál usnout třeba v hospodě na stole :-D

    • uni (neregistrovaný)

      Martin II: Uvedený návod nevede k falzifikátu, který by postačoval k obejití iTouch. To je snad snadno pochopitelné… Vede k falzifikátu, který obejde biometrickou čtečku. Více viz. můj první příspěvek nebo doplnění od FCSA, co je sakra k tomu na diskusi?:-)

    • Martin II (neregistrovaný)

      @UNI: Nerozumiem ti. Fungovalo to na iPhone5S? Fungovalo! Prelomili? Prelomili!

    • uni (neregistrovaný)

      Martin II: Pane bože. Ale chápu, že nechápeš co máme na mysli, protože ten článek je blbě napsaný, což jsem se snažil pod článkem napravit. Ale zase se to sdělení rozbíjí v diskusi s nevěřícnými tomáši….

      OPAKUJI co jsem uvedl před tím a co fcsa. Otisk takto získaný NEní dostatečně kvalitní podklad pro výrobu falzifikátu k ošálení iTouch. Ergo, zmínka o pinu na kartě je irelevantní. Ale mám pocit, že už to tu zaznělo. Uf.

      A to je přesně ten průšvih toho článku, polopravda o zásadní věci. Když to nejsi schopen pochopit ty v diskusi, co chudák běžný čtenář, který je touhle senzachtivou snůškou příp. ovlivněn v úsudku? Pak nemají o iOS (např.) kolovat takové mýty a nesmysly….

    • Martin II (neregistrovaný)

      @UNI: Stale si ma nepresvedcil. Jedno je ale pravda, ze otisk skenovali a nasledne vytlacili. Potom odlievali. Fungovalo to. Nerobili tak ze si otlacili otisk do tej hmoty a potom odlievali.

    • weth (neregistrovaný)

      martinII: uni ukazuje na to, ze je potreba odlisovat „hacknuti senzoru“ a „hacknuti prstu“. Dusledek je stejny – otevreny telefon, pristup k autentizovanemu obsahu apod. – ale neni to totez. To, co se podarilo, je obslehnuti samotneho otisku a tedy hacknuti prstu (coz je samo o sobe primitivni, protoze ty otisky nechavas vsude). Hacknout TouchID se zatim nepodarilo (coz mimochodem ukazuje na trosku pokrouceny nadpis – kde jste, milovnici pravdy a nebulvarnich clanku?).

    • uni (neregistrovaný)

      weth: Tak na to (podivnost nadpisu) jsem ještě ani nenarazil, zatím „jen“ bojuji se sdělenými informacemi.

      Martin II konečně pochopil, ale jaký to byl boj. Ale co ostatní, co si to jen přečtou?

    • weth (neregistrovaný)

      No, problem je taky v tom, ze si asi vetsina lidi neuvedomuje, ze ani heslo neni uplne bezpecne (jeho zadavani na verejnych mistech a mozne vysledovani), ale co uz. Ja bych si stokrat radsi v tramvaji prejel palcem po ctecce nez zadaval heslo k AppleID…

    • uni (neregistrovaný)

      Tak přínos TouchID je nezpochybnitelný, jen je třeba si kopnout, klasika.

      Další ideální použití je u profilů, kdy samotný prst při odemčení přístroje rozhodne, jaký profil se má aktivovat.

  6. policak (neregistrovaný)

    Podle me fanouškům Apple stačí k pocitu výjimečnosti jen fakt,že mají něco víc, než ostatní. Rozumět tomu nebo to dokonce používat nemusí.

    • uni (neregistrovaný)

      Tak iVěci zaujímají většinový podíl v mobilním internetovém provozu, tak jako je násobně výdělečnější Appstore vůči ostatním (o iTunes nemluvě). To není zrovna známka nepoužívání…

  7. kuba (neregistrovaný)

    Přesně. Vůbec nejde o bezpečnost, kolik z nás má v telefonu plánek atomové bomby? jde čistě jen o daleko pohodlnější přihlášení do systému. Ze stejného důvodu jsem to chtěl i na notebooku a funguje skvěle. Navíc…co myslíte, že bude mít příští telefon od samsungu? ;) bohužel s tímhle mělo přijít Blackberry s jejich klávesnicí a kdyby ještě zapracovali na widgetech, byl by to dreamphone :) no…zase se nechali předběhnout.

    • uni (neregistrovaný)

      Přesně, navíc iTouch má fakticky zásadní dopad na zabezpečení, kdy lidi (a nebojme se je označit za většinu) nepoužívají PIN, Pattern apod., protože to zdržuje. Takže mají radši telefon zcela nezabezpečen. Zabezpečení na otisk běžící bez jakékoli interakce navíc je přesně ten úžasný kousek evoluce.

      A zase to ukazuje, jak Apple přemýšlí. Tedy probuzení, odemčení, autentizace/autorizace proběhne jediným úkonem.

      Co nabízí např. Android? Probuzení tlačíktem mimo dosah (u fabletů apod.), pak gestem odemčení displeje, pak autentizace/autorizace, 3 úkony, uf….

    • Pipa (neregistrovaný)

      Jj, i já to chtěl na notebooku, a taky to bylo to první co jsem v biosu deaktivoval.

      Já mobil nezamykám pod žádná hesla, protože to ve finále omezuje pouze mě, a jak už někdo zmínil plány na atomovku tam taky nemám – ty nosim úplně jinde :d

    • Pipa (neregistrovaný)

      ale no tak, to že nějaké zařízení má nějakou čtečku není invence systému ale výrobce – takže prosím do toho nemotat android – bude z toho pouze další flame

    • uni (neregistrovaný)

      Pravda, tedy porovnejte, jakou cestu zabezpečení nabízí např. HTC a jakou Apple. Viz. jak píšeš, omezuje tě to:-)

  8. mceza (neregistrovaný)

    S tvrzením, že otisky prstů jsou vlastně nebezpečné nesouhlasím. Nejde to takto napsat obecně.

    Čtečka v mém lenovu totiž nesnímá otisk prstu jako takový, ale jeho chování při přejíždění přes ní. Takže pokud odlitek nemá téměř stejné vlastnosti jako můj prst, tak si ani neškrtne. Výroba takového odlitku je možná, ale jednak nelze vyrobit z otisku zanechaného třeba na sklenici a druhak je tak náročná, že byto nikdo kvůli mým datům nedělal. Nemám tam tak extrémně citlivá data, aby se to někomu vyplatilo.

    Čtečka iPhonu je mnohem jednodušší a náchylnější na podvrhnutí, ale opět – kdo vynaloží tolik úsilí na prolomení?

    • weth (neregistrovaný)

      mceza: Jak psal uni – je to o pohodli, ani ne tak o bezpecnosti. I kdyz – ja zadny zamek klaves nepouzivam a dovedu si predstavit, ze kdybych mel telefon s cteckou otisku, zamknu si to na otisk palce. Cili bezpecnost je mozna slabsi nez u klasickeho hesla, ale vyssi nez bez hesla. Rozhodne si nedelam iluze, ze zamek na heslo neco resi – neresi vubec nic. Pokud pujde o neco extremne duleziteho (trestny cin, bezpecnost statu atd.) dostanou se tam i kdybych mel heslo hustodemonskykrutoprisne. Kdyz me telefon ale ukradnou, nedostanou se tam.

    • mceza (neregistrovaný)

      Přesně tak. Heslo u telefonu také nemám, protože zadávat číselný PIN při každém odemčení telefonu je hrůza. Stejně tak se mi hnusí ty různé odemykací gesta – to zas nemá společného nic z bezpešností. Čtečka otisků prstů je elegantní, pohodlné a rychlé řešení. Volal jsem po ní už dlouho.

  9. uni (neregistrovaný)

    Když jsem tak přemýšlel nad tímhle….textem, já osobně nemám na telefonu snad nikde komplet otisk palce. Palcem jezdím po displeji, přesněji jeho špičkou, vzadu na ploše se mi nemá prakticky proč vzít, na stranách bude jeho sejmutí nedostatečné (běžné držení telefonu).

    U tabletu už je to trochu jiné téma, tam palec slouží jako protiváha při držení. Což snadno vyřeší adekvátní ochranná fólie bez zanechávání otisků. Nebo zafunguje samotná oleofobní vrstva.

    Fakt nechápu to s tím PINem na platební kartě…

  10. JohnSaw (neregistrovaný)

    Hackeri? Toto majú byť hackeri? To všetci vedia, že sa to dá obísť.. Odťať prst vie.veľa ľudí. Nevidim zmysel článku a už vôbec to veľké haló.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *