Fingeraftrykslæser i iPhone 5S hacket med laserprinter og latex

36 kommentarer.  Hop til debatten
Det eneste, der skulle til for at snyde Apples fingeraftrykslæser i iPhone 5S, var en velkendt teknik, blot i højere opløsning.
23. september 2013 kl. 09:37
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En af de få store nyheder i den nye iPhone 5S fra Apple var en indbygget fingeraftrykslæser, som brugeren kan benytte til at låse telefonen op, ligesom Apple har planer om, at man skal kunne bruge sit fingeraftryk i stedet for et kodeord til at godkende betalinger i Apples egne applikationer.

Fingeraftrykslæsere er imidlertid forholdsvis trivielle at omgå, hvis man kan få fat i brugerens fingeraftryk fra eksempelvis et glas.

Det var også den teknik, som hackere fra tyske Chaos Computer Club har benyttet sig af til angiveligt at være de første til at dokumentere, hvordan man snyder fingeraftrykslæseren i iPhone 5S.

Første trin gik ud på at skaffe et godt fingeraftryk. I dette tilfælde fra en glasplade. Derefter tog hackerne et foto af fingeraftrykket, og det var her, at det var nødvendigt at afvige fra den kendte procedure.

Artiklen fortsætter efter annoncen

Billedet eller indscanningen skulle nemlig være i 2.400 dpi, hvilket er en højere opløsning end for at omgå de fingeraftrykslæsere, man typisk finder på eksempelvis bærbare pc'er.

Fingeraftryksbilledet blev renset digitalt, konverteret til negativ og printet ud i 1.200 dpi på en transparent. Derefter smurte hackerne latex på det udprintede billede, hvorefter de fik en latexkopi af fingeraftrykket.

Ved at fugte latexkopien kunne fingeraftrykslæseren snydes på samme måde som andre fingeraftrykslæsere på markedet.

Problemet med fingeraftrykslæsere er velkendt. Det er en bekvem løsning, fordi brugeren ikke skal huske en kode, men sikkerheden er ikke nødvendigvis højere. Det skyldes, at man efterlader fingeraftryk allevegne, og man kan ikke ændre sine fingeraftryk, hvis nogen laver en kopi.

36 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
37
27. september 2013 kl. 10:39

Dertil kommer så de nye låse på dørene der kan åbnes elektronisk med en APP. Så kommer alle betalingskort-terminaler og banker. Så har de kriminelle lige pludselig adgang til hele dit liv. En pinkode kan ændres hvis den er komprimenteret, det kan dit fingeraftryk ikke.

19
23. september 2013 kl. 12:11

Kan ikke lige se hvorfor nogen ville stjæle en iPhone - telefonen bliver jo spærret når det opdages og vil derfor være ubrugelig/værdiløs!?

16
23. september 2013 kl. 11:45

Det er selvfølgelig dejligt at kunne pisse lidt i suppen med sådan en artikel. Min vurdering er at en tilfældig lommetyv ikke har udstyr, evner eller tålmodighed til den skitserede proces og at dem der har også har råd til anskaffe sig en telefon på helt legale vilkår.

12
23. september 2013 kl. 10:51

...og det på trods af det mambo jambo hokus pokus som de skrev om denne fingeraftrykslæser. Jeg regnede ellers med at det ville tage ca. 3måneder.

10
23. september 2013 kl. 10:45

Man kunne jo også stjæle ejerens iphone + et hår. Udtrække DNA og klone sig frem til stamceller, der derefter påføres en finger-form af opløseligt kunststof, sy den færdige finger fast på en mus for at opnå blodgennemstrømning, (musens immunforsvar skal naturligvis først deaktiveres, så fingeren ikke afstødes) - og bruge musen til at få en godkendt aflæsning med mobiltelefonens biometriske scanner...

Langt de fleste mobiler stjæles vel i byen, hvor den almindelige mobil-tyv ikke har adgang til sillikone støbeforme eller højtopløselige affotograferinger af den tidligere ejeres fingerspidser.

Hovedsagen er, at scanneren er mere sikker end en pinkode, men andre opfindsomme måder at omgå spærringen, er naturligvis altid interessante at læse om.

13
23. september 2013 kl. 11:30

DNA og fingeraftryk har faktisk ikke noget med hinanden at gøre. Dvs. DNA siger ikke noget om fingeraftrykket - det kan også med simpel logik konstateres ud fra det faktum, at to enæggede tvillinger IKKE har identiske fingeraftryk.

Til de interesserede: Fingeraftrykket opstår i fostertilværelsen, hvor huden på fingrene er vædet af fostervæsken og derfor lettere "opsvulmet". På et tidspunkt falder huden sammen i folder, og disse folder forekommer altså tilfældigt uden direkte sammenhæng med DNA.

Om det så er godt at bruge fingeraftryk som nøgle eller ej, vil jeg undlade at kloge mig på. Jeg kan blot konstatere, at en velhavende mand i Indonesien fik "stjålet" begge hænder. Han havde givetvis foretrukket at blive berøvet en almindelig nøgle i stedet ... (og ud fra det argument er iris-scanning jo ikke meget bedre)

18
23. september 2013 kl. 12:00

@ Kristian Det er rigtigt nok Kristian. Det ved jeg også godt, nu når jeg tænker mig om. Tak du :)

22
23. september 2013 kl. 13:19

Ja, og Apple har helt ret. Det er highly secure, også uden gåseøjne. Med den procedure man skal igennem er det besværligt og en tyv kan ikke bare gætte koden og komme ind i telefonen. Ofte er det også nemt at lure pinkoden, da de fleste skærme er så store at den tastede kode nemt kan ses. Og hvis det er myndigheder man er bange for, så er jeg overvist om at der ikke står noget i vejen for dem, uanset om man vælger pinkode eller fingerlæser.

Når man ser på målt, må dette siges at være den sikreste form for lås på nogen mobilenhed. Den kan ikke aflures, men den kan kopieres hvis man har midlerne til det (hvilket de færreste har).

26
23. september 2013 kl. 20:17

Hvis man stjæler en TOUCH phone med store flader af glas og metal, hvad er så sandsynligheden for at man også får et brugbart fingeraftryk med i købet ?

30
24. september 2013 kl. 10:43

Hvis man stjæler en TOUCH phone med store flader af glas og metal, hvad er så sandsynligheden for at man også får et brugbart fingeraftryk med i købet ?

Den er langt mindre end du tror. Rigtig mange af de bevægelser der foregår på en telefon er swipes og andre bevægelser der trækker fingeren hen over skærmen. Den bevægelse efterlader ikke et normalt brugtbart fingeraftryk og vil samtidigt ofte udhviske de alm. direkte fingeraftryk der måtte være. Dertil kommer situation som når man skriver på telefonens tastatur - Det er selvfølgelig forskelligt fra person til person men jeg skriver primært med spidsen af min finger og ikke den store flade som jeg ville bruge på en fingeraftrykslæser. En iPhone er så tynd at siderne heller ikke rummer plads til et fuldt fingeraftryk men kun en smal stribe af din finger og ofte er det ikke selve det yderste led af fingeren der hviler på kanterne men derimod bøjningen ved det første led.

Alle systemer kan hackes, uanset om de benytter to-faktor identifikation, fingeraftryk eller noget helt andet. Det handler derimod om at øge sikkerheden så det bliver så besværligt at det vil afskrække de fleste fra at gøre det. Og i det lys der er fingeraftrykslæseren en gankse pæn forøgelse af sikkerheden i forhold til et simpelt brugernavn/password der nemt kan aflures, keylogges eller lign.

Hvad angår fingeraftryk så behøver vi ikke frygte at NSA skulle få fat i dem. De har allerede fingeraftryk for samtlige personer der har været i USA. Ved indrejse i USA blver der taget et billede af dig og dine fingeraftryk skal afgives hos emmigrations.

27
23. september 2013 kl. 20:57

og sandsynligheden for at tyven har en 3d printer og når at stjæle dine hemmelige informationer på din telefon, før du har logget ind på et web site og slettet alle informationer på den?

31
24. september 2013 kl. 11:19

hvis vi er ude i det scenarie så lad os da tage med ind i regnestykket, at mobiltelefoner bliver generelt regnet som en usikker platform - i en grad, at de f.eks. skal efterlades udenfor når man skal ind på militærsikret områder. Så jeg vil tillade mig at antage, at det ikke er sandsynligt at højt klassificeret materiale som gør tyvens insats værd ikke vil flyde ud på en sådan platform. Igen, det er et non problem at du kan hacke en fingeraftryklæser på en mobil telefon.

25
23. september 2013 kl. 14:01

Det er highly secure, også uden gåseøjne.

Dine krav til "highly secure", er godt nok ikke høje. Jeg er såmænd med på at det ser ud til at være en rimeligt fungerende måde til at opnå et dagligdags helt basalt sikkerhedsniveau, når der ikke skal beskyttes værdier eller kritisk information. I min ordbog er det dog netop sådanne ting der kræver at noget virkelig er "highly secure".

2
23. september 2013 kl. 10:01

Det kan godt være, at det ikke er en 100% skudsikker løsning (hvad er det?), men jeg ser det stadig som en forbedring, fordi:

  1. Jeg er et af de dovne mennesker, der ikke har en kode på telefonen, fordi det er for besværligt.
  2. Det er altså en ret kompleks process, man skal igennem - det er ikke noget, sidemanden i toget lige gør, når du glemmer telefonen, mens du er på toilet. Men han kan normalt nemt lure din kode...
1
23. september 2013 kl. 09:58

De scannere er altså mere en gimmick/gadget end en reel sikkerhedsmodul. Så hvorfor hulen overhovedet bruge dem?

De skulle vel hellere bruge iris skanning hvis det nu skulle være smart osv?

21
23. september 2013 kl. 13:01

Kæft det er sjovt at læse kommentarer til sådan en artikel :-D ... "Så er det jo bare en gimmick" ... hehe.

Som nogle stykker allerede har kommenteret mere eller mindre spydigt, så kan vi vel godt blive enige om, at det ikke er NEMT at lave dette trick? Ét er at stjæle en telefon; noget andet er at finde og kopiere et fingeraftryk - vel at mærke fra netop den eller de fingre, som brugeren har registreret. Og først nu skal man til at GENSKABE et silikone-kopi af dette fingeraftryk!

Som John skriver, så har de kriminelle, som kan gøre dette med succes, nok andre interesserer end at stjæle brugte iPhones. Så skulle det være for at få fat i indholdet på en specifik telefon - og mon ikke, at såfremt man havde SÅ følsomt og værdifuldt data på sin telefon, at man så også kunne finde ud af at resette den, hvis den blev stjålet? :-)

Jeg kommer nok ikke til at ligge søvnløs - siger det bare ;-)

23
23. september 2013 kl. 13:36

Som nogle stykker allerede har kommenteret mere eller mindre spydigt, så kan vi vel godt blive enige om, at det ikke er NEMT at lave dette trick? Ét er at stjæle en telefon; noget andet er at finde og kopiere et fingeraftryk - vel at mærke fra netop den eller de fingre, som brugeren har registreret. Og først nu skal man til at GENSKABE et silikone-kopi af dette fingeraftryk!

Så er det nok nemmere at forsøge at gætte koden, der også er der.

Mange glemmer vist, at Touch ID ikke erstatter koden, men er til for at gøre det nemt i dagligdagen.

Koden er der stadigvæk, så sikkerheden er på ingen måde anderledes end på andre iPhones uden Touch ID.

24
23. september 2013 kl. 13:47

Koden er der stadigvæk, så sikkerheden er på ingen måde anderledes end på andre iPhones uden Touch ID.

Det er lidt for teoretisk. Hvis vi antager at fingeraftryk fungerer "tilstrækkeligt godt" i det daglige, medfører det at PIN bruges langt mindre. Dermed bliver den lettere at glemme, hvilket giver anledning til at finde på en som er nem at huske, og ikke for kompliceret. Hvis fingeraftrykket bliver slidt/skadet, vil det jo være for upraktisk at være låst ude af telefonen. Så det er vigtigt at PIN nemt kan huskes, også efter et stykke tid.

4
23. september 2013 kl. 10:14

De scannere er altså mere en gimmick/gadget end en reel sikkerhedsmodul.

Ikke nok med det, de er en reel sikkerhedsrisiko.

Godt nok påstår Apple at fingeraftrykket kun lagres krypteret og bla. bla. bla. på telefonen, men som med alt andet af den slags, så er det kun et spørgsmål om tid før "de grimme fyre" (indsæt selv efter temperament: NSA, GCHQ, den russiske mafia, kinesiske hackere, profileringsmaskiner, etc, etc) lykkes med at høste fingeraftryk og personlige oplysninger i stor stil.

Det skal nok blive muntert.

6
Indsendt af Peter Binderup (ikke efterprøvet) den man, 09/23/2013 - 10:25

Ikke nok med det, de er en reel sikkerhedsrisiko.

Dertil kommer der også det at det er målrettet de personer der er trætte af passwords. Man kunne formode at de vælger et yderst simpelt password (da de jo ikke så tit vil blive bedt om at verificere deres fingeraftryk med et rigtigt brugernavn/password), og så er sikkerheden endnu lavere.

Og med smartphones hvor hele betjeningen er baseret på brug af fingre, der har du endda dit aftryk i "clear text" - bruger man tommeltotten til fingeraftrykket, så det sandsynligvis enten på siderne af telefonen eller på selve home knappen.

Jeg er dog ikke så bekymret over at NSA eller andre sikkerhedstjenester skulle få mit fingeraftryk - hvorfor skulle de dog bruge krudt på det, når nationale sikkerhedstjenester samarbejder med dem - det er uendeligt nemmere for dem at kontakte PET/FET end det ville være at scamble et ground team med det formål at få min telefon.

8
23. september 2013 kl. 10:35

Jeg er dog ikke så bekymret over at NSA eller andre sikkerhedstjenester skulle få mit fingeraftryk - hvorfor skulle de dog bruge krudt på det, når nationale sikkerhedstjenester samarbejder med dem - det er uendeligt nemmere for dem at kontakte PET/FET end det ville være at scamble et ground team med det formål at få min telefon.

Hvis man nu tager sølvpapirhatten på, og har lyst til at kompromittere Hr. Binderup, så han af systemet kan blive anbragt et passende sted, så han ikke bliver ved med komme med afslørende læserbreve, så er det trods alt dejligt bekvemt at kunne lave:

SELECT fingerprint FROM iphonesglobally WHERE name='Peter Binderup'

end at skulle ud fysisk og rende i halen på dig for at høste det.

11
Indsendt af Peter Binderup (ikke efterprøvet) den man, 09/23/2013 - 10:47

end at skulle ud fysisk og rende i halen på dig for at høste det.

Inden alt for længe skal "de" vel ikke ud for at høste det i og med at fingeraftryk skal i pas og mon ikke også kørekort/sygesikringskort.

Vi skal anse vores fingeraftryk på samme måde som vi bør anse vores CPR nummer - identifikation og ikke verifikation.

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

29
24. september 2013 kl. 08:23

Vi skal anse vores fingeraftryk på samme måde som vi bør anse vores CPR nummer - identifikation og ikke verifikation.

Jeg tror at århundreders brug af fingeraftryk som verifikation kan det gøre det svært at få den opfattelse til at slå igennem hos beslytningstagere og andre.

Iphone 5S hjælper ihvert fald ikke på processen.

Uanset om fingertrykket opfattes som verifikation eller kun som identifikation, så er et fingertryk som anden biometri ikke revokerbart, dvs. myndighederne kan ikke ved behov give dig et andet.

17
23. september 2013 kl. 11:45

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

Jeg er ikke enig i dette. Nu har du bare to faktorer, som begge kan kopieres, uden du opdager det -- eller ved at du mister en finger. En keyfob eller SMS-kode sammen med et password af en slags må stadig være at foretrække.

Men hvordan får man den besked ud, inden banker og offentlige begynder at bruge fingeraftryk til verifikation? Måske er det klogeste at offentliggøre sine fingeraftryk i høj opløsning, så er de vel for pokker ikke længere egnede til formålet. Hvis bare 1-2 millioner vil gøre det, burde vi være på den sikre side.

Imens kan jeg ikke donere blod uden at skulle give dem fingeraftryk. VorHERREbevares.

32
24. september 2013 kl. 12:30

Måske er det klogeste at offentliggøre sine fingeraftryk i høj opløsning, så er de vel for pokker ikke længere egnede til formålet. Hvis bare 1-2 millioner vil gøre det, burde vi være på den sikre side.

Det er en rigtig dårlig ide. Du skal beskytte din biometri (fingeraftryk, DNA, m.v.) ikke offentliggøre den, så det bliver nemt for staten (eller andre) at overvåge dig.

Du kan ikke undgå at sætte fingeraftryk eller efterlade DNA spor, men du skal gøre det så besværligt som muligt at henføre disse spor til dig. Ellers bliver du fanget i overvågningshelvedet.

Man skal heller ikke aflevere sit fingeraftryk til en enhed, som man ikke stoler 100% på. Apple er i kløerne på NSA, ligesom alle andre amerikanske virksomheder. Lavabit lukkede for nylig fordi alternativet var at blive medskyldig i forbrydelser mod det amerikanske folk (som er meget bedre juridisk beskyttet i USA end menneskeheden i øvrigt).

Samme pression kan ramme Apple, som f.eks. kunne blive pålagt at overføre alle fingeraftryk til en central NSA database. Apple's garantier om at fingeraftrykket bliver på telefonen er intet værd hvis NSA ønsker det anderledes.

33
24. september 2013 kl. 12:55

Apple's garantier om at fingeraftrykket bliver på telefonen er intet værd hvis NSA ønsker det anderledes.

Vi kan godt være enige om at Apples garantier ikke nødvendigvis er til at stole på, men selv NSA må forholde sig til naturlovene. Hvis det ikke er teoretisk muligt at overføre fingeraftrykkene, så kan NSA hoppe og danse lige så tosset de vil.

Man skal bide mærke i, at fingeraftrykkene ikke gemmes i "klartekst" men omdannet til tal ud fra en given formel. Dvs, at selv hvis man får adgang til data, vil man ikke kunne gå den anden vej og genskabe fingeraftrykket ud fra krypteringen.

Det svarer vel lidt til at blande maling i en spand. Man vil altid kunne tjekke om blandingen er korrekt, men man vil aldrig ud fra blandingen kunne regne tilbage og sige, hvad der præcis er blandet.

34
24. september 2013 kl. 13:26

Dobbelt post

35
24. september 2013 kl. 13:26

Hvem siger at dit fingeraftryk kun bliver gemt som et tal? Der er jo intet som hindre telefonen i at ringe hjem med et billede af din finger og så gemme fingeraftrykket som et tal på telefonen.

15
23. september 2013 kl. 11:42

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

Så flytter du også fingeraftrykket fra at være authentification til at være identification.

Hvis så krypteringen foregår på en separat enhed, der derefter genererer en afledt nøgle, så begynder det at ligne noget.