Čítačka odtlačkov v iPhone sa dá ľahko oklamať, hackeri vyzývajú na jej nepoužívanie

DSL.sk, 23.9.2013

Čítačka odtlačkov prstov Touch ID zabudovaná v novom iPhone 5s sa dá jednoducho oklamať podobne ako iné doterajšie čítačky, latexovým odtlačkom vyrobeným z fotografie odtlačku užívateľa na skle.

Informujú o tom hackeri z Chaos Computer Club, ktorí prihlásenie pomocou falošného odtlačku úspešne demonštrovali.

Chaos Computer Club, CCC, dlhodobo upozorňuje na nevhodnosť používania odtlačkov ako autentifikačného a autorizačného nástroja. Hackeri zároveň zverejnili viacero postupov ako vyrobiť falošné odtlačky pomocou bežne dostupných technológií.

Touch ID oklamali jedným z nich, založeným na odfotení odtlačku užívateľa vytvoreného na skle, invertovaní obrázku, jeho vytlačení na priesvitný materiál na laserovej tlačiarni a nanesení latexu alebo lepu na vytlačený odtlačok. Kvôli rozličným parametrom toneru a materiálu, na ktorý sa tlačí, vytvorí latex alebo lep po uschnutí rovnaké mapovanie ako má pôvodný odtlačok a po jeho odlepení je možné túto tenkú vrstvu použiť ako falošný odtlačok.

Oproti doteraz vyvinutej technológii museli hackeri kvôli zvýšenému rozlíšeniu senzora v Touch ID len zvýšiť rozlíšenie s ktorým pracovali, pôvodný odtlačok tak fotili s 2400 DPI a tlačili ho s 1200 DPI.

Na demonštračnom videu člen CCC inicializuje odomykanie iPhonu 5s odtlačkom z ukazováka, následne zariadenie úspešne odomkne vytvoreným falošným odtlačkom nasadeným na prostredník.

Hackeri zároveň dôrazne upozorňujú ľudí, aby odtlačky ako autentifikačný nástroj nepoužívali. "Je to jednoducho hlúpe používať niečo, čo nemôžete zmeniť a nechávate to každý deň všade, ako bezpečnostný token. Verejnosť by nemala byť ďalej klamaná nepravdivými bezpečnostnými tvrdeniami biometrického priemyslu," uvádza oznámenie.

Oklamanie Touch ID na iPhone 5 (video: CCC)

Okrem toho, že je autentifikácia odtlačkom ľahko oklamateľná, CCC užívateľov odrádza od jeho používania z ďalšieho dôležitého dôvodu. Donútiť užívateľa dať k dispozícii jeho odtlačok je oproti donúteniu poskytnúť heslo v špecifických scenároch, pod fyzickým nátlakom alebo právne orgánmi činnými v trestnom konaní, výrazne jednoduchšie.

"Biometria je v zásade technológia vytvorená pre útlak a kontrolu, nie pre zabezpečovanie každodenného prístupu k zariadeniam," uzatvára CCC.


Najnovšie články:



Diskusia:

sdvsv Od: xavier de la slovak | Pridané: 23.9.2013 9:53 fasak sa dako klepal :D Odpovedať Známka: 8.3 Hodnotiť:

Re: sdvsv Od: xycy | Pridané: 23.9.2013 10:24 sak nespal kvoli tomu tomu 3 dni Odpovedať Známka: 8.7 Hodnotiť:

Re: sdvsv Od: xixi | Pridané: 23.9.2013 12:29 mal si to Piko dat az po recenzii Odpovedať Známka: 9.3 Hodnotiť:

Re: sdvsv Od: MAJAK - neregistrovany | Pridané: 24.9.2013 16:45 alebo sa triasol lebo nemal davku Odpovedať Hodnotiť:

Re: sdvsv Od: Fhroch | Pridané: 23.9.2013 10:31 Existuju aj choroby nervovej sustavy nesposobene alkoholom :-) a taky clovek za to nemoze. Vzivote som ale takeho pracovat na obrazovke nevidel, a preto podme protestovat za ich diskriminaciu a podpalovat TV studia. Odpovedať Známka: 2.2 Hodnotiť:

Re: sdvsv Od: retrgdfg | Pridané: 24.9.2013 10:34 ano pravdepodobnejsie je ze mal chorobu :D Odpovedať Známka: 10.0 Hodnotiť:

Re: sdvsv Od: Zdenka, zajtra Ľuboš | Pridané: 23.9.2013 10:36 Mali by prejsť na otlačok jazyka. Odpovedať Známka: 5.4 Hodnotiť:

Re: sdvsv Od: Riťmus | Pridané: 23.9.2013 11:23 A môžeš ho rovno odskúšať na mojom zadku. LOL Odpovedať Známka: 7.8 Hodnotiť:

Re: sdvsv Od: kim ir ser | Pridané: 24.9.2013 21:40 otlačok zadku nemáš bežne na telefóne, ale odtlačkov prstov mám na telefóne háááfo veľa. Odpovedať Hodnotiť:

5 znakov Od: amentma | Pridané: 23.9.2013 9:54 ten hacker sa uz cely trasie ze ho najde NSA :) Odpovedať Známka: 8.2 Hodnotiť:

Re: 5 znakov Od: fsfsfs | Pridané: 23.9.2013 9:58 Boji sa zaloby od Applu. Odpovedať Známka: 7.8 Hodnotiť:

ruska zima Od: pjótr | Pridané: 23.9.2013 10:23 kks tak ten ako hrkoce, ked to pozerate zo zvukom tak je pocut ako mu zuby drkocu :D Odpovedať Známka: 8.8 Hodnotiť:

Re: ruska zima Od: yvxcv | Pridané: 23.9.2013 10:25 alkohol skodi zdraviu Odpovedať Známka: -3.3 Hodnotiť:

borici Od: MythB | Pridané: 23.9.2013 10:25 http://www.youtube.com/watch?v=3Hji3kp_i9k Odpovedať Hodnotiť:

Re: borici Od: adsxy | Pridané: 23.9.2013 10:26 to je odrb pre opticke skenery Odpovedať Známka: 10.0 Hodnotiť:

????? Od: AsdasfASDfs | Pridané: 23.9.2013 10:29 Teraz neviem ci je lepsie prist o prst alebo byt muceny za ucelom ziskat odomna heslo... Odpovedať Známka: 6.5 Hodnotiť:

Re: ????? Od reg.: OmeGa | Pridané: 23.9.2013 10:53 staci ked ti daju klackom po hlave a maju k dispozicii cele tvoje telo, nie len prst. naozaj je to ako bezpecnost na figu Odpovedať Známka: 8.8 Hodnotiť:

iaiaia Od: ppp p | Pridané: 23.9.2013 10:56 to nieje hacker,ale poukazovac na nedostatky Odpovedať Známka: 3.3 Hodnotiť:

lahko???? Od: bindin | Pridané: 23.9.2013 10:58 no mne to nepripada ,ze by to bolo zrovna lahko...tym ste chceli povedat ,ze ked mi nejaky fetacik kvoli pikenku ukradne mobil tak dokaze zrekonstruovat moj odtlacok a odomknut si mobil? ale jasne... ved to zvladne aj decko... staci odfotit otlacok prsta v rozliseni 2400 dpi, vysledny obrazok vycistit, prevratit a laserom "tlstym tlacenim" vytlacit (samozrejme cez PDA po wifi) v rozliseni 1200dpi na priehladny papier, nakonec sa na vzor namaze ruzove latexove mliebo alebo biele lepidlo na drevo a ked zachne tak tenky latexovy plat oddelime z papiera so vzorom, dychne sa nan kvoli navlhceniu a potom sa da na umiestni na senzor a odomkne mobil... Odpovedať Známka: 0.5 Hodnotiť:

Re: lahko???? Od: jumanji | Pridané: 23.9.2013 10:58 noa, moja mama kazdu nedelu robi na obed takto odtlacky prstov s ryzou Odpovedať Známka: 10.0 Hodnotiť:

Re: lahko???? Od: Matooo01 | Pridané: 23.9.2013 13:34 odtlacky tvojej mamy su u nas dole v bare na zachodovom zrkadle Odpovedať Známka: -8.9 Hodnotiť:

Re: lahko???? Od: ujo tomas | Pridané: 24.9.2013 1:06 spravaj sa slusne.. Odpovedať Známka: 10.0 Hodnotiť:

Re: lahko???? Od reg.: leader | Pridané: 23.9.2013 15:57 ten fetak to preda nejakemu s mobilmi ktory tu technologiu urcite ma... Odpovedať Známka: 10.0 Hodnotiť:

huuuu Od: haaaaaaa | Pridané: 23.9.2013 10:59 myslim ,ze toto zabezpecenie je pre beznych ludi viac ako dostatocne... keby som kral vesmiru tak by som samozrejme volil ine zabezpecenie... Odpovedať Známka: -5.0 Hodnotiť:

Re: huuuu Od reg.: 100k45h | Pridané: 23.9.2013 11:10 lenze to nie je zabezpecenie, ale presny opak, zhorsuje to bezpecnost tvojho sukromia a este hrozi aj zneuzitie tohto udaju, pokial sa ho podari dostat von zo zariadenia Odpovedať Známka: 5.2 Hodnotiť:

Re: huuuu Od: hauhauuu | Pridané: 23.9.2013 11:53 ako to zhorsuje bezpecnost? bude lahsie zrekonstruovat moj odtlacok ako odkukat spoza chrbta napriklad v MHD heslo? pre bezneho cloveka je to skvele zabezpecenie pretoze pochybujem ,ze mi zlodej najprv zobere odtlacky a potom v nejakej laboratorii vyrobi moj odtlacok a odomkne mobil :D proste bezny zlodej sa cez tu ochranu nedostane len tak Odpovedať Známka: -1.1 Hodnotiť:

Re: huuuu Od: old | Pridané: 23.9.2013 19:47 heslo a pod zabezpečenia sa nedajú spárovať s osobou, odtlačok áno Odpovedať Známka: 10.0 Hodnotiť:

Senator asks if FBI can get iPhone 5S fingerprint data via Patriot Act Od: Lekno | Pridané: 23.9.2013 11:00 If you don't tell anyone your password, no one will know what it is. If someone hacks your password, you can change it—as many times as you want. You can't change your fingerprints. You have only ten of them. And you leave them on everything you touch; they are definitely not a secret. What's more, a password doesn't uniquely identify its owner—a fingerprint does. Let me put it this way: if hackers get a hold of your thumbprint, they could use it to identify and impersonate you for the rest of your life. Source: http://www.disclose.tv Odpovedať Známka: 7.0 Hodnotiť:

titulok Od: Bananan | Pridané: 23.9.2013 11:15 ...mozno to bude tym, ze odtlacky rozumny clovek nikdy nepouzije na autentifikaciu, ale len na identifikaciu... Odpovedať Známka: 4.7 Hodnotiť:

Re: titulok Od: prdlajs | Pridané: 23.9.2013 19:30 Vies podrobnejsie objasnit, co je to ta autentifikacia? Ked uz, tak autentizacia, co je overenie a potvrdenie identity. V principe to iste, ako identifikacia. Takze v tvojej vete sa bohuzial stracam a netusim, co pan maestro chcel tym povedat. Odpovedať Známka: -6.0 Hodnotiť:

Re: titulok Od reg.: leader | Pridané: 24.9.2013 8:39 kazdemu je jasne ze chcel povedat autentizacia autentifikacia = identifikacia + autentizacia Odpovedať Hodnotiť:

bezpecnost Od: ko7llo | Pridané: 23.9.2013 11:17 podla mna to zvladne hocikto, ten co kradne mobily tak urcite. A tu je to o to lahsie ze tie otlacky polahky najdu na tom mobile, jedine ze by si po kazdom pouziti ten mobil clovek cistil, co dost realne nieje. Zoberte si ze ake zlozite systemy vymyslaju na ochranu aut, a staci im si kupit za par supov rusicku signalu, a vsetky mobilne zabezpecenia su nanic. jedine co funguje je konbinacia mechanickych zabezpeceni, aj to ich len spomalia a zlodeji si povedia ze radsej ukradnu susedne auto ako sa trapit s tim vasim. Jediny ucel tych odtlackov je len ich zber. Odpovedať Známka: 6.9 Hodnotiť:

Re: bezpecnost Od: Boonas | Pridané: 23.9.2013 11:29 Odtlacky na pas, pokial potrebujeme napr. pracovne cestovat odovzdavame nedobrovolne a pod natlakom, ani vlada nema pravo tymto sposobom terorizovat a uchovavat biometricke udaje slobodnych ludi. Dalsia dolezita vec je, ze aj nas mozog sa da lahko oklamat, pomocou ziarenia a frekvencie nasho mobilneho telefonu. Mal som to stastie, ze som viac ako 1 rok vobec nemusel pouzivat mobil. Hovorim vam, su dvaja rozlicni ludia - jeden s mobilom a jeden bez mobilu. Ked som zacal pouzivat po viac ako roku mobil, po cca 4 minutach hovoru som sa spamataval asi 5 dni, 1 den ma silno palilo ucho a prudko bolela hlava a mal som ochrnutu lavu polovicu tela, este na piaty den som nemal cit v koncekoch prstov lavej ruky. Prava mozgova hemisfera dostala sluznu davku oziarenia. Ale zistil som, ze sa uplne inac spravam uz pri mobile polozenom v miestnosti (!) Mobilny internet, kolko ludi ho pouziva? Ved to je taka sila, ze je to doslova zdobytcovanie naroda - mobil je jednoducho zbran proti ludom. Odpovedať Známka: -2.2 Hodnotiť:

Re: bezpecnost Od: katjushaman | Pridané: 23.9.2013 11:44 Bratm neviem co beries ale prestan s tym ;) Ked si vezmes mnozstvo vsetkeho ziarenia co mas okolo seba to telefonovanie je len kvapka v mori ;) Odpovedať Známka: 4.1 Hodnotiť:

Re: bezpecnost Od: elemir lacko | Pridané: 23.9.2013 11:53 najlepsie je niekoho obvinit z uzivania latok a pritom ich sam uzivat. to je lacna finta ktoru pouziva kazdy alkoholik v urcitom stadiu choroby aby odputal pozornost od seba.sam pijes a druhych obvinujes z popijania. my uz ale vsetko vieme ako to je a monitorujeme ta ci uz cez otlacky alebo aj inac prostrednictvom vesmirnej energie, vibracii, sexualnych navykov a podobne. Odpovedať Známka: 5.4 Hodnotiť:

Re: bezpecnost Od: nekecaj tolko bifla | Pridané: 23.9.2013 21:35 Teoretik... Poznam alkacov co si priznaju ze su alkaci a piju dalej. A piju. A piju. A valaju sa v mixe grcky a mocky. A maju v pici nejake okolie a zvalovanie viny. Odpovedať Známka: 10.0 Hodnotiť:

Re: bezpecnost Od: xvzf | Pridané: 23.9.2013 11:55 a predtym si nic take nepocitoval? ani v naznaku? lebo to, ze niektori su na mobilne ziarenie citlivejsi ako ini je dlho znamy fakt.... Odpovedať Známka: 5.0 Hodnotiť:

Re: bezpecnost Od: Boonas | Pridané: 23.9.2013 13:47 Pred tym som telefonoval niekolko sto az tisic minut mesacne, skratka dost. Mal som kazde 2 roky novy mobil. Jedine, co som pripisoval mobilu, boli bolesti klbov v mieste nosenia a aj to az od kedy som dostal zas novy mobil, dovtedy vobec nic. Jedno z najvacsich rizik pouzivania mobilu je podla mojho nazoru to, ze urcite veci clovek pouzivajuci mobil ma takmer nulovu sancu pochopit :) Ak aj pochopi, ma takmer nulovu sancu ich zmenit. Mobil ho bude stale tahat presne opacnym smerom od toho, co je najdolezitejsie. Je to ako beh cez prekazky s tazkou ocelovou gulou uviazanou k nohe tazkou retazou. Par krat sa aj pokusime preskocit, ale trhnutie a nasledny pad nas vycerpa a zas sme na zaciatku. Na dalsi pokus, ak to hned nevzdame treba znovu nacerpat sily. Potom sa cely zivot nachadzame kdesi na pol ceste za uspechom (nasledkom nepochopenia mnohi z nas aj na pol ceste za zdravim), a vek okolo 30 rokov uz byva obdobie, kedy ziskame uplne nespravne presvedcenie, ze s tym aj tak nic nespravime... Odpovedať Známka: 5.0 Hodnotiť:

Re: bezpecnost Od: samsung-calex | Pridané: 23.9.2013 21:31 Mozno si len hypersenzitivny a mozno mas v sebe nejake abnormality. Dnesne mobily maju uz omnoho slabsi vyzarovaci vykon ako tie pred 5, 10 rokmi... a v miestach s plnym signalom (t.j. max paliciek na displeji) mobil vyzaruje minimum, maximum vyzaruje ked si niekde v lesoch s jednou palickou signalu. Kazdopadne myslim ze telefonovat tisice minut mesacne nieje zrovna prospesne, aj ked je to neionizujice ziarenie. Boli tu aj nejake clanky o rednuti kosti, o predcasnom starnuti mozgu u mladistvych... Odpovedať Známka: 10.0 Hodnotiť:

ide o silnu depresiu! Od: elemir lacko | Pridané: 23.9.2013 11:39 ten pan ma silne depresie ci uz z pozivania alkoholu alebo omamnych jedov ako su tzv. gandza, pernik, tito lito vito bongo congo a podobne. to sa musi riesit tato roztrusena skleroza, alzhajmer a podobne. Odpovedať Známka: -8.2 Hodnotiť:

Re: ide o silnu depresiu! Od: Dementos | Pridané: 23.9.2013 18:32 alkohol, piko - ano, ale gandza = omamny jed? prezrad, na com si skoncil? trava je prestupna droga a skoncis na heroine! vsetkch co poznam skoncili na heraku v pivnici s ihlami zapichnutymi az do zaluda! Odpovedať Známka: 6.7 Hodnotiť:

trasenie Od: Mr X | Pridané: 23.9.2013 12:03 ruky sa mu trasu na tom videu ako mne Odpovedať Známka: 10.0 Hodnotiť:

................. Od: pamatnik | Pridané: 23.9.2013 12:56 Problem autentifikacie ma zvycajne dva rozmery, prvy je overit ci je pouzita autentifikacia platna (token pouzity na autentifikaciu platny), druhy, ci bola pouzita opravnenym subjektom (toto je zda sa momentalne ten vacsi problem). Ak to funguje spravne, tak musia (mali by) byt nejakym sposobom overene oba casti. Napr. v ID kartach, odtlacok/biometria vo vnutri ma zabezpecit prave tu verifikaciu, ci je ID karta pouzita opravnenou osobou. To, ci to nie je falzifikat ID karty uz ma zabezpecit nieco ine (nejake implementovane PKI, hologramy, ine ochranne prvky...). Na nejakom skeneri funguje prave tak dobre latexovy otdlacok pripadne obycajna tlac na laserovej tlaciarni (bude zalezat, ci to bude optiticky, kapacitny alebo ultrasonicky skener). Iny skener uz skusi zmerat teplotu/vlhkost ... Odpovedať Známka: 3.3 Hodnotiť:

odtlacok hnaty Od: Sampler | Pridané: 23.9.2013 14:46 Ja to nechapem a to apple pre paranoikov nemoze zapnut 2 faktorove overovanie, najprv otlackom a potom pinom? Dalsia vec je ze v IOS7 spravili tie tlacidla na pin kod take velke ze moj pin vie aj chalan z vedlajsieho domu.. Proste neviem o com je to cele, staci pouzivat na ukladanie hesiel zvlast appz, takto sa dostanu ak sa im bude chciet sr.. co sa im nebude a radsej to 10x naxovno zadaju a maju olee telefon v tovarnom nastaveni.. ale fnuk prisli o fotku s mojou buchtou.. a 30 sms od nej.. Odpovedať Hodnotiť:

otlacok Od: uzivatelll | Pridané: 23.9.2013 15:04 tak si sprav otlacok tvojho "pínasu" a ak si veris a mas ho dost velky tak mas problem solved (nikto ti ho nenahradi) :) Odpovedať Hodnotiť:

..... Od: xvzf | Pridané: 23.9.2013 15:39 som zvedavy na reakciu Apple :P Odpovedať Známka: 10.0 Hodnotiť:

Hnata Od: Sampler | Pridané: 23.9.2013 15:47 Este ma napadlo. 1. kolko ludi doteraz vobec nezamyka telefon? 90%? 2. kto kaze pouzivat hnatu? apple dal len moznost, stale mozes pouzivat pin kod, zas bublina.. 3. uz cca pred 2ma rokmi som pozeral Boricov Mitov a tam v pohode prelamovali biometricke veci.. Presne sme s kolegom cakali kedy vypukne tento p.. kvoli otlackom.. :-) Odpovedať Známka: 10.0 Hodnotiť:

Titulok Od: Tup | Pridané: 23.9.2013 16:32 šok! kontrola odtlačku prsta sa dá oklamať pomocou presnej kópie odtlačku prsta! whatever, kto chce rozumnú kombináciu bezpečnosť/jednoduchosť, tak si vyberie odtlačok namiesto 4miestneho PINu, kto chce hlavne bezpečnosť, si vyberie aspoň 16 miestne heslo s kombináciou malých a veľkých písmen, čísel a znakov a mení ho pravidelne Odpovedať Známka: 3.3 Hodnotiť:

Re: Titulok Od: dikybo | Pridané: 23.9.2013 16:51 Raz som tu v diskusii videl uplne excelentny postreh: dotykovy display v kontraste so sucasnymi fasisticko-orwellovskymi metodami CIA, NSA & Co. Iba ho spamati odcitujem: Dnes ked suchate prstom pod displayi, NSA ma vasich odltackov vsetkych 10. A raz som tu, ale iba chvilu videl tiez vec na zamyslenie: Okolo roku 1900 trpel rakovinou v priemere kazdy 20. clovek. Dnes trpi rakovinou v priemere kazdy 3. clovek. Tak http://goo.gl/dsctXP ??? Zamyslime sa. Odpovedať Známka: 6.0 Hodnotiť:

Re: Titulok Od: paris france | Pridané: 23.9.2013 21:22 Zamyslel som sa, uz 4 hodiny tu sedim. Co dalej? Odpovedať Známka: 6.0 Hodnotiť:

hnata Od: Sampler | Pridané: 23.9.2013 16:59 Pekny postreh z diskusie.. Dále je třeba pochopit, že TouchID neslouží pro zvýšení maximální úrovně bezpečnosti, ale pozvednutí minimální úrovně zabezpečení na telefonech drtivé většiny uživatelů. Odpovedať Známka: 2.0 Hodnotiť:

hnata Od: Sampler | Pridané: 23.9.2013 17:13 Pekny postreh z diskusie.. Tak aj dalej su dolezite info.. TouchID je hlavně pro ty, kteří neměli telefon doposud zabezpečený vůbec, protože je neustálé zadávání PINu otravuje. Nyní mohou zapnout TouchID, které je rychlejší a otravné řádově méně. Touch ID jde možná (možná!) vysoce kvalitní kopií otisku prstu obelhat, ale je potřeba si uvědomit, že to rozhodně není rychlý proces - mezitím si uvědomím, že telefon nemám a na dálku ho smažu. Uvedený postup, jak hacknout TouchID, pokud vím zatím nebyl potvrzen - viděli jsme jedno video, které nechává hodně prostoru pro spekulace. Např. kapacitní senzor TouchID má údajně číst otisk prstu z podpovrchových vrstev kůže. Hacker na videu si sice nalepil na prst vyrobený otisk, ale pod ním měl stejný prst, který předtím do telefonu naprogramoval. Četl senzor jeho živý prst přes tu latexovou vrstvu? Odpovedať Známka: -10.0 Hodnotiť:

Re: hnata Od: vkr | Pridané: 23.9.2013 18:14 pozri video znovu, pri umelom odtlacku pouziva druhy prst..(prostrednik) Odpovedať Známka: 10.0 Hodnotiť:

Re: hnata Od: mexickazaba | Pridané: 23.9.2013 23:00 Na optike sa dá nahrať 5 roznych odtlačkov možno tam mal aj prostredník nahratý Odpovedať Známka: 0.0 Hodnotiť:

Re: hnata Od: __fuxo | Pridané: 24.9.2013 10:46 Tak toto uz naozaj nechapem... Vidis predsa na vlastne oci, ze tu ochranu odrbal a silou mocou sa to snazis najst tam aspon milimetrovu nadej, ze to tak nebolo a to aj za cenu, ze trepnes uplnu blbost. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár