Casa Vigilant de seguretat L'identificador tàctil d'Apple iphone 5s d'Apple es pot piratejar, però no deixa de ser impressionant

L'identificador tàctil d'Apple iphone 5s d'Apple es pot piratejar, però no deixa de ser impressionant

Vídeo: ✔ Minecraft: How to make an Apple Store (De novembre 2024)

Vídeo: ✔ Minecraft: How to make an Apple Store (De novembre 2024)
Anonim

Bé, això no va trigar gaire. L’iPhone 5S d’Apple va sortir la setmana passada, amb un nou sensor d’empremta digital Touch ID integrat al botó Home. Poc després, Nick DePetrillo (@NickDe) ha tuitejat aquest repte: "Pagaré a la primera persona que reuneixi amb èxit una impressió de la pantalla de l'iPhone 5s, la reprodueix i desbloqueja el telèfon en <5 intents 100 dòlars." El seu lloc web istouchidhackedyet.com/ va convidar a altres a publicar les seves pròpies ofertes. Ara, menys d’una setmana després, s’ha reclamat la recompensa col·lectiva de dòlars, bitcoins i begudes.

I el guanyador és...

En un article publicat el dissabte passat, el venerable Chaos Computer Club d'Alemanya va anunciar que el seu equip de pirateria biomètrica havia desbloquejat amb èxit un iPhone 5 amb una empremta digital falsa. "Una empremta digital de l'usuari del telèfon, fotografiada des d'una superfície de vidre, era suficient per crear un dit fals que pogués desbloquejar un iPhone 5s assegurat amb Touch ID", va dir el missatge. "Això demostra, una vegada més, que la biometria de les empremtes dactilars no és adequada com a mètode de control d'accés i s'ha d'evitar."

DePetrillo va anunciar criteris molt específics per reclamar la recompensa: "Tot el que demano és un vídeo del procés des de la impressió, ascensor, reproducció i desbloqueig amb èxit amb la reproducció". Si bé la demostració de vídeo CCC no coincideix exactament amb aquestes condicions, DePetrillo la va acceptar com a prova.

Comprovar el botí

El guanyador del botí, que porta el nom de Starbug, té previst donar-lo a una spinoff del CCC anomenada Raumfahrtagentur. Vaig calcular exactament què obtindria Starbug si tots els participants rebien el pagament promès. El total en efectiu seria de 8.364, 01 dòlars, 100 euros, i l’equivalent a bitcoin d’altres 2.779 dòlars més o menys. Altres ofertes aleatòries inclouen set ampolles de vi i licor, una sol·licitud de patent gratuïta per a la tècnica i un "llibre de sexe brut".

Una oferta de 10.000 dòlars va aparèixer breument, però va ser retirada poc abans que les notícies sobre pirateria. Un bon grapat d’aquells que ofereixen diners en efectiu van posar els diners en garantia; aquestes quantitats estan garantides a pagar. Com a mínim, Starbug obtindrà bitcoins de 900 $ i 0, 661. Voleu participar a la recompensa crowdfunded? Encara podeu fer-ho per tuitejar la vostra oferta (mínim 50 USD o 0, 4 bitcoin) a @IsTouchIdHacked.

Confirmada per Lookout

Mark Rogers, investigador de Lookout Security amb seu a San Francisco, també va aconseguir piratejar l'ID Touch i va publicar detalls complets ahir. Tot i que va aconseguir piratejar-lo, Rogers encara creu que el Touch ID és "impressionant".

Rogers assenyala que no és fàcil el fet de piratejar Touch ID. "Es basa en una combinació d'habilitats, investigacions acadèmiques existents i la paciència d'un tècnic en escena del crim" per produir una empremta falsa. Encara que tingueu les habilitats necessàries, no és senzill. "És un procés llarg que triga diverses hores i utilitza equips per valor de més de mil dòlars, incloent una càmera d'alta resolució i una impressora làser". La seva tècnica va crear la impressió en un tauler revestit de coure, mentre que CCC utilitzava una transparència. Per desbloquejar realment un telèfon, va haver de pegar l’empremta falsa a un dit humit.

Seguretat convenient

Per què encara és impressionant el Touch ID? Rogers remarca que actualment la meitat de tots els usuaris d’iPhone ni tan sols utilitzen un simple PIN, perquè no és convenient. Touch ID, d’altra banda, és l’epítom de la comoditat. Si premeu el botó Home és alguna cosa que ja feu; Per afegir autenticació d’empremtes dactilars al procés no cal cap acció addicional.

El que realment voldria veure a Rogers és l’autenticació de dos factors: Touch ID més una contrasenya, per exemple. Preveu un sistema on, per exemple, haureu d’entrar al banc amb una empremta digital, però introduïu una contrasenya per poder realitzar una transacció. He d’acord. L’autenticació d’empremtes digitals és defectuosa, l’autenticació PIN de quatre dígits és defectuosa, però les dues juntes permeten una millor seguretat.

Les primeres descripcions de Touch ID feien sonar com si la tecnologia només funcionés amb un dit o un polze real. El fet que una impressió elevada ens pugui enganyar em fa pensar si parlem massa aviat quan dèiem que un polze tallat no funcionaria. Però no estic segur que vull escoltar detalls sobre la investigació dirigida a aquesta direcció.

L'identificador tàctil d'Apple iphone 5s d'Apple es pot piratejar, però no deixa de ser impressionant