Команда биометрических хакеров Chaos Computer Club (CCC) успешно обошла механизм биометрической защиты Apple Touch ID, используя подручные средства. Отпечатка пальца владельца телефона, оставленного на гладкой стеклянной поверхности, хватило для разблокировки iPhone 5s. Этот пример ещё раз показывает нам несостоятельность методов контроля доступа, основанных на считывании отпечатков пальцев.
Напомним, что совсем недавно Apple выпустила новую версию iPhone со считывателем отпечатков пальцев. Было также заявлено, что новая технология более надёжна, а в прессе ходили слухи о чудесах «новой» технологии и о невероятности взлома такой защиты.
(стены бастиона пошатнулись, но окончательной победы пока не объявлено — http://istouchidhackedyet.com — прим. переводчика).
«На самом деле, эппловский сенсор выделяется среди остальных лишь высоким разрешением. То есть, нам достаточно улучшить качество нашей подделки» — поясняет хакер с ником Starbug, это он провёл основные эксперименты, в ходе которых успешно обошёл защиту. «Мы уже не первый год пытаемся донести, что отпечатки пальцев не должны использоваться для обеспечения безопасности. Вы оставляете их повсюду и воссоздать оригинальный палец по его отпечатку просто как два пальца об асфальт».
Новый метод следует стандартной процедуре подделки отпечатков пальцев, с применением лишь хозяйственных материалов. Во-первых отпечаток фотографируется с минимальным разрешением 2400dpi. Полученное изображение немного чистится в фотошопе, инвертируется и печатается на лазерном принтере с минимальным разрешением 1200dpi поверх прозрачного листа (такие листы продаются в любом уважающем себя магазине фотоматериалов — прим. переводчика). Настроить принтер нужно специальным образом, чтобы напечатанный слой имел ощутимую толщину. Затем получившийся узор смазывается столярным клеем. После того как инсталляция высохнет, плёночка столярного клея отдирается, немного увлажняется дыханием изо рта и затем помещается на считыватель отпечатков. Данный метод, возможно с небольшими вариациями, был проверен применительно к большинству считывателей отпечатков на рынке.
«Мы надеемся, что навсегда развеем иллюзии обывателей относительно биометрической защиты. Банально и тупо использовать в качестве криптографического ключа то, что вы не в силах поменять, зато ежечасно и повсюду оставляете рабочие копии» — говорит Frank Rieger, пресс-секретарь CCC. «Общество не должно оставаться в дураках вечно из-за ложных заявлений биометрической индустрии. Биометрия как технология была создана для угнетения и контроля, а не для обеспечения безопасности доступа к персональным устройствам». Биометрические паспорта с отпечатками пальцев используются во многих странах, не смотря на то, что это ни коим образом не способствует усилению безопасности.
Пользователи iPhone должны избегать защиты важной персональной информации при помощи отпечатков не только потому, что данный метод не надёжен из-за возможности копии отпечатков. Вас просто-напросто могут вынудить разблокировать телефон используя грубую физическую силу, например — при аресте. Заставлять вас выдать пароль (надеемся, он несомненно длинный) значительно труднее и может выходить за рамки юрисдикции. А незаметно и непринуждённо провести телефоном по вашим рукам в наручниках — дозволительно при любых обстоятельствах.
Большое спасибо команде Heise Security за предоставленный iPhone 5s. Больше деталей добавим позднее, следите за индикатором http://istouchidhackedyet.com.
— P.S. Спасибо всем, кто читал перевод. Ваши замечания прошу отправлять в личку, постараюсь исправить. Автор перевода не несёт ответственности за содержание статьи и достоверность эксперимента, прошу это понимать. Перевод выполнен в реактивном режиме и в довольно вольной манере.
Автор: Xlab