Fingeraftrykslæser i iPhone 5S hacket med laserprinter og latex

Det eneste, der skulle til for at snyde Apples fingeraftrykslæser i iPhone 5S, var en velkendt teknik, blot i højere opløsning.

En af de få store nyheder i den nye iPhone 5S fra Apple var en indbygget fingeraftrykslæser, som brugeren kan benytte til at låse telefonen op, ligesom Apple har planer om, at man skal kunne bruge sit fingeraftryk i stedet for et kodeord til at godkende betalinger i Apples egne applikationer.

Fingeraftrykslæsere er imidlertid forholdsvis trivielle at omgå, hvis man kan få fat i brugerens fingeraftryk fra eksempelvis et glas.

Det var også den teknik, som hackere fra tyske Chaos Computer Club har benyttet sig af til angiveligt at være de første til at dokumentere, hvordan man snyder fingeraftrykslæseren i iPhone 5S.

Første trin gik ud på at skaffe et godt fingeraftryk. I dette tilfælde fra en glasplade. Derefter tog hackerne et foto af fingeraftrykket, og det var her, at det var nødvendigt at afvige fra den kendte procedure.

Læs også: Ekspert: Fingeraftrykslæser i iPhone 5S er sikkerhedsmareridt

Billedet eller indscanningen skulle nemlig være i 2.400 dpi, hvilket er en højere opløsning end for at omgå de fingeraftrykslæsere, man typisk finder på eksempelvis bærbare pc'er.

Fingeraftryksbilledet blev renset digitalt, konverteret til negativ og printet ud i 1.200 dpi på en transparent. Derefter smurte hackerne latex på det udprintede billede, hvorefter de fik en latexkopi af fingeraftrykket.

Ved at fugte latexkopien kunne fingeraftrykslæseren snydes på samme måde som andre fingeraftrykslæsere på markedet.

Problemet med fingeraftrykslæsere er velkendt. Det er en bekvem løsning, fordi brugeren ikke skal huske en kode, men sikkerheden er ikke nødvendigvis højere. Det skyldes, at man efterlader fingeraftryk allevegne, og man kan ikke ændre sine fingeraftryk, hvis nogen laver en kopi.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars K. Hansen

De scannere er altså mere en gimmick/gadget end en reel sikkerhedsmodul. Så hvorfor hulen overhovedet bruge dem?

De skulle vel hellere bruge iris skanning hvis det nu skulle være smart osv?

  • 2
  • 4
Claus Jensen

Det kan godt være, at det ikke er en 100% skudsikker løsning (hvad er det?), men jeg ser det stadig som en forbedring, fordi:
1) Jeg er et af de dovne mennesker, der ikke har en kode på telefonen, fordi det er for besværligt.
2) Det er altså en ret kompleks process, man skal igennem - det er ikke noget, sidemanden i toget lige gør, når du glemmer telefonen, mens du er på toilet. Men han kan normalt nemt lure din kode...

  • 17
  • 2
Christian Nobel

De scannere er altså mere en gimmick/gadget end en reel sikkerhedsmodul.

Ikke nok med det, de er en reel sikkerhedsrisiko.

Godt nok påstår Apple at fingeraftrykket kun lagres krypteret og bla. bla. bla. på telefonen, men som med alt andet af den slags, så er det kun et spørgsmål om tid før "de grimme fyre" (indsæt selv efter temperament: NSA, GCHQ, den russiske mafia, kinesiske hackere, profileringsmaskiner, etc, etc) lykkes med at høste fingeraftryk og personlige oplysninger i stor stil.

Det skal nok blive muntert.

  • 12
  • 7
Venligst Slet Min Bruger

Pointen er jo ikke, at den skal være ubrydelig. Men alt andet lige er det mere "sikkert" at låse telefonen op med sin finger end med en kode - især hvis der står en kollega eller ven lige ved siden af og skal se et eller andet.

At det så derudover er integreret med resten af systemet er ganske smart.

  • 10
  • 3
Anonym

Ikke nok med det, de er en reel sikkerhedsrisiko.

Dertil kommer der også det at det er målrettet de personer der er trætte af passwords. Man kunne formode at de vælger et yderst simpelt password (da de jo ikke så tit vil blive bedt om at verificere deres fingeraftryk med et rigtigt brugernavn/password), og så er sikkerheden endnu lavere.

Og med smartphones hvor hele betjeningen er baseret på brug af fingre, der har du endda dit aftryk i "clear text" - bruger man tommeltotten til fingeraftrykket, så det sandsynligvis enten på siderne af telefonen eller på selve home knappen.

Jeg er dog ikke så bekymret over at NSA eller andre sikkerhedstjenester skulle få mit fingeraftryk - hvorfor skulle de dog bruge krudt på det, når nationale sikkerhedstjenester samarbejder med dem - det er uendeligt nemmere for dem at kontakte PET/FET end det ville være at scamble et ground team med det formål at få min telefon.

  • 4
  • 3
Christian Nobel

Jeg er dog ikke så bekymret over at NSA eller andre sikkerhedstjenester skulle få mit fingeraftryk - hvorfor skulle de dog bruge krudt på det, når nationale sikkerhedstjenester samarbejder med dem - det er uendeligt nemmere for dem at kontakte PET/FET end det ville være at scamble et ground team med det formål at få min telefon.

Hvis man nu tager sølvpapirhatten på, og har lyst til at kompromittere Hr. Binderup, så han af systemet kan blive anbragt et passende sted, så han ikke bliver ved med komme med afslørende læserbreve, så er det trods alt dejligt bekvemt at kunne lave:

SELECT fingerprint FROM iphonesglobally WHERE name='Peter Binderup'

end at skulle ud fysisk og rende i halen på dig for at høste det.

  • 4
  • 3
Nicholas Colding

Man kunne jo også stjæle ejerens iphone + et hår.
Udtrække DNA og klone sig frem til stamceller, der derefter påføres en finger-form af opløseligt kunststof, sy den færdige finger fast på en mus for at opnå blodgennemstrømning, (musens immunforsvar skal naturligvis først deaktiveres, så fingeren ikke afstødes) - og bruge musen til at få en godkendt aflæsning med mobiltelefonens biometriske scanner...

Langt de fleste mobiler stjæles vel i byen, hvor den almindelige mobil-tyv ikke har adgang til sillikone støbeforme eller højtopløselige affotograferinger af den tidligere ejeres fingerspidser.

Hovedsagen er, at scanneren er mere sikker end en pinkode, men andre opfindsomme måder at omgå spærringen, er naturligvis altid interessante at læse om.

  • 9
  • 2
Anonym

end at skulle ud fysisk og rende i halen på dig for at høste det.

Inden alt for længe skal "de" vel ikke ud for at høste det i og med at fingeraftryk skal i pas og mon ikke også kørekort/sygesikringskort.

Vi skal anse vores fingeraftryk på samme måde som vi bør anse vores CPR nummer - identifikation og ikke verifikation.

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

  • 7
  • 0
Kristian Bjørklund

DNA og fingeraftryk har faktisk ikke noget med hinanden at gøre. Dvs. DNA siger ikke noget om fingeraftrykket - det kan også med simpel logik konstateres ud fra det faktum, at to enæggede tvillinger IKKE har identiske fingeraftryk.

Til de interesserede:
Fingeraftrykket opstår i fostertilværelsen, hvor huden på fingrene er vædet af fostervæsken og derfor lettere "opsvulmet". På et tidspunkt falder huden sammen i folder, og disse folder forekommer altså tilfældigt uden direkte sammenhæng med DNA.

Om det så er godt at bruge fingeraftryk som nøgle eller ej, vil jeg undlade at kloge mig på. Jeg kan blot konstatere, at en velhavende mand i Indonesien fik "stjålet" begge hænder. Han havde givetvis foretrukket at blive berøvet en almindelig nøgle i stedet ...
(og ud fra det argument er iris-scanning jo ikke meget bedre)

  • 9
  • 1
Christian Nobel

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

Så flytter du også fingeraftrykket fra at være authentification til at være identification.

Hvis så krypteringen foregår på en separat enhed, der derefter genererer en afledt nøgle, så begynder det at ligne noget.

  • 0
  • 1
John niss Hansen

Det er selvfølgelig dejligt at kunne pisse lidt i suppen med sådan en artikel.
Min vurdering er at en tilfældig lommetyv ikke har udstyr, evner eller tålmodighed til den skitserede proces og at dem der har også har råd til anskaffe sig en telefon på helt legale vilkår.

  • 5
  • 1
Jesper S. Møller

Fingeraftryk i kombination med et fornuftigt brugernavn/password er dog ikke helt dum. Det er på ingen måde "hacker" sikkert, men man gør det mere bøvlet at bryde et login. Udfordringen er så at forklare folk at et fingeraftryk ikke er godt nok til sikkert login når det står alene.

Jeg er ikke enig i dette. Nu har du bare to faktorer, som begge kan kopieres, uden du opdager det -- eller ved at du mister en finger. En keyfob eller SMS-kode sammen med et password af en slags må stadig være at foretrække.

Men hvordan får man den besked ud, inden banker og offentlige begynder at bruge fingeraftryk til verifikation? Måske er det klogeste at offentliggøre sine fingeraftryk i høj opløsning, så er de vel for pokker ikke længere egnede til formålet. Hvis bare 1-2 millioner vil gøre det, burde vi være på den sikre side.

Imens kan jeg ikke donere blod uden at skulle give dem fingeraftryk. VorHERREbevares.

  • 2
  • 1
Anonym

Jeg er ikke enig i dette. Nu har du bare to faktorer, som begge kan kopieres, uden du opdager det -- eller ved at du mister en finger. En keyfob eller SMS-kode sammen med et password af en slags må stadig være at foretrække

som jeg også skriver - det er ikke "hacker" sikkert, men det er bøvlet for en person at opnå både fingeraftryk og det bruger/password der hører med til det.

  • 1
  • 0
Nikolaj Have

Kæft det er sjovt at læse kommentarer til sådan en artikel :-D ... "Så er det jo bare en gimmick" ... hehe.

Som nogle stykker allerede har kommenteret mere eller mindre spydigt, så kan vi vel godt blive enige om, at det ikke er NEMT at lave dette trick? Ét er at stjæle en telefon; noget andet er at finde og kopiere et fingeraftryk - vel at mærke fra netop den eller de fingre, som brugeren har registreret. Og først nu skal man til at GENSKABE et silikone-kopi af dette fingeraftryk!

Som John skriver, så har de kriminelle, som kan gøre dette med succes, nok andre interesserer end at stjæle brugte iPhones. Så skulle det være for at få fat i indholdet på en specifik telefon - og mon ikke, at såfremt man havde SÅ følsomt og værdifuldt data på sin telefon, at man så også kunne finde ud af at resette den, hvis den blev stjålet? :-)

Jeg kommer nok ikke til at ligge søvnløs - siger det bare ;-)

  • 8
  • 3
Martin Nielsen

Ja, og Apple har helt ret. Det er highly secure, også uden gåseøjne. Med den procedure man skal igennem er det besværligt og en tyv kan ikke bare gætte koden og komme ind i telefonen. Ofte er det også nemt at lure pinkoden, da de fleste skærme er så store at den tastede kode nemt kan ses. Og hvis det er myndigheder man er bange for, så er jeg overvist om at der ikke står noget i vejen for dem, uanset om man vælger pinkode eller fingerlæser.

Når man ser på målt, må dette siges at være den sikreste form for lås på nogen mobilenhed. Den kan ikke aflures, men den kan kopieres hvis man har midlerne til det (hvilket de færreste har).

  • 6
  • 2
Jan Lunddal Larsen

Som nogle stykker allerede har kommenteret mere eller mindre spydigt, så kan vi vel godt blive enige om, at det ikke er NEMT at lave dette trick? Ét er at stjæle en telefon; noget andet er at finde og kopiere et fingeraftryk - vel at mærke fra netop den eller de fingre, som brugeren har registreret. Og først nu skal man til at GENSKABE et silikone-kopi af dette fingeraftryk!

Så er det nok nemmere at forsøge at gætte koden, der også er der.

Mange glemmer vist, at Touch ID ikke erstatter koden, men er til for at gøre det nemt i dagligdagen.

Koden er der stadigvæk, så sikkerheden er på ingen måde anderledes end på andre iPhones uden Touch ID.

  • 2
  • 0
Johnnie Hougaard Nielsen

Koden er der stadigvæk, så sikkerheden er på ingen måde anderledes end på andre iPhones uden Touch ID.

Det er lidt for teoretisk. Hvis vi antager at fingeraftryk fungerer "tilstrækkeligt godt" i det daglige, medfører det at PIN bruges langt mindre. Dermed bliver den lettere at glemme, hvilket giver anledning til at finde på en som er nem at huske, og ikke for kompliceret. Hvis fingeraftrykket bliver slidt/skadet, vil det jo være for upraktisk at være låst ude af telefonen. Så det er vigtigt at PIN nemt kan huskes, også efter et stykke tid.

  • 1
  • 4
Johnnie Hougaard Nielsen

Det er highly secure, også uden gåseøjne.

Dine krav til "highly secure", er godt nok ikke høje. Jeg er såmænd med på at det ser ud til at være en rimeligt fungerende måde til at opnå et dagligdags helt basalt sikkerhedsniveau, når der ikke skal beskyttes værdier eller kritisk information. I min ordbog er det dog netop sådanne ting der kræver at noget virkelig er "highly secure".

  • 2
  • 2
lArs hAnsen

og sandsynligheden for at tyven har en 3d printer og når at stjæle dine hemmelige informationer på din telefon, før du har logget ind på et web site og slettet alle informationer på den?


Hvis der er meget vigtige oplysninger på din telefon som en tyv/spion ønsker at stjæle, så vil han nok sikre sig at din telefon ikke har kontakt med omverdenen så snart den er stjålet og er blevet tømt for oplysninger.

  • 1
  • 0
Lars Lundin

Vi skal anse vores fingeraftryk på samme måde som vi bør anse vores CPR nummer - identifikation og ikke verifikation.

Jeg tror at århundreders brug af fingeraftryk som verifikation kan det gøre det svært at få den opfattelse til at slå igennem hos beslytningstagere og andre.

Iphone 5S hjælper ihvert fald ikke på processen.

Uanset om fingertrykket opfattes som verifikation eller kun som identifikation, så er et fingertryk som anden biometri ikke revokerbart, dvs. myndighederne kan ikke ved behov give dig et andet.

  • 0
  • 0
Michael Lykke

Hvis man stjæler en TOUCH phone med store flader af glas og metal, hvad er så sandsynligheden for at man også får et brugbart fingeraftryk med i købet ?

Den er langt mindre end du tror. Rigtig mange af de bevægelser der foregår på en telefon er swipes og andre bevægelser der trækker fingeren hen over skærmen. Den bevægelse efterlader ikke et normalt brugtbart fingeraftryk og vil samtidigt ofte udhviske de alm. direkte fingeraftryk der måtte være.
Dertil kommer situation som når man skriver på telefonens tastatur - Det er selvfølgelig forskelligt fra person til person men jeg skriver primært med spidsen af min finger og ikke den store flade som jeg ville bruge på en fingeraftrykslæser.
En iPhone er så tynd at siderne heller ikke rummer plads til et fuldt fingeraftryk men kun en smal stribe af din finger og ofte er det ikke selve det yderste led af fingeren der hviler på kanterne men derimod bøjningen ved det første led.

Alle systemer kan hackes, uanset om de benytter to-faktor identifikation, fingeraftryk eller noget helt andet. Det handler derimod om at øge sikkerheden så det bliver så besværligt at det vil afskrække de fleste fra at gøre det. Og i det lys der er fingeraftrykslæseren en gankse pæn forøgelse af sikkerheden i forhold til et simpelt brugernavn/password der nemt kan aflures, keylogges eller lign.

Hvad angår fingeraftryk så behøver vi ikke frygte at NSA skulle få fat i dem. De har allerede fingeraftryk for samtlige personer der har været i USA. Ved indrejse i USA blver der taget et billede af dig og dine fingeraftryk skal afgives hos emmigrations.

  • 2
  • 0
Mads Vanggaard

hvis vi er ude i det scenarie så lad os da tage med ind i regnestykket, at mobiltelefoner bliver generelt regnet som en usikker platform - i en grad, at de f.eks. skal efterlades udenfor når man skal ind på militærsikret områder. Så jeg vil tillade mig at antage, at det ikke er sandsynligt at højt klassificeret materiale som gør tyvens insats værd ikke vil flyde ud på en sådan platform. Igen, det er et non problem at du kan hacke en fingeraftryklæser på en mobil telefon.

  • 2
  • 0
Jesper Lund

Måske er det klogeste at offentliggøre sine fingeraftryk i høj opløsning, så er de vel for pokker ikke længere egnede til formålet. Hvis bare 1-2 millioner vil gøre det, burde vi være på den sikre side.

Det er en rigtig dårlig ide. Du skal beskytte din biometri (fingeraftryk, DNA, m.v.) ikke offentliggøre den, så det bliver nemt for staten (eller andre) at overvåge dig.

Du kan ikke undgå at sætte fingeraftryk eller efterlade DNA spor, men du skal gøre det så besværligt som muligt at henføre disse spor til dig. Ellers bliver du fanget i overvågningshelvedet.

Man skal heller ikke aflevere sit fingeraftryk til en enhed, som man ikke stoler 100% på. Apple er i kløerne på NSA, ligesom alle andre amerikanske virksomheder. Lavabit lukkede for nylig fordi alternativet var at blive medskyldig i forbrydelser mod det amerikanske folk (som er meget bedre juridisk beskyttet i USA end menneskeheden i øvrigt).

Samme pression kan ramme Apple, som f.eks. kunne blive pålagt at overføre alle fingeraftryk til en central NSA database. Apple's garantier om at fingeraftrykket bliver på telefonen er intet værd hvis NSA ønsker det anderledes.

  • 2
  • 1
Martin Wolsing

Apple's garantier om at fingeraftrykket bliver på telefonen er intet værd hvis NSA ønsker det anderledes.

Vi kan godt være enige om at Apples garantier ikke nødvendigvis er til at stole på, men selv NSA må forholde sig til naturlovene. Hvis det ikke er teoretisk muligt at overføre fingeraftrykkene, så kan NSA hoppe og danse lige så tosset de vil.

Man skal bide mærke i, at fingeraftrykkene ikke gemmes i "klartekst" men omdannet til tal ud fra en given formel. Dvs, at selv hvis man får adgang til data, vil man ikke kunne gå den anden vej og genskabe fingeraftrykket ud fra krypteringen.

Det svarer vel lidt til at blande maling i en spand. Man vil altid kunne tjekke om blandingen er korrekt, men man vil aldrig ud fra blandingen kunne regne tilbage og sige, hvad der præcis er blandet.

  • 0
  • 0
Søren Jensen

Hvem siger at dit fingeraftryk kun bliver gemt som et tal? Der er jo intet som hindre telefonen i at ringe hjem med et billede af din finger og så gemme fingeraftrykket som et tal på telefonen.

  • 0
  • 0
Jesper Petersen

Dertil kommer så de nye låse på dørene der kan åbnes elektronisk med en APP. Så kommer alle betalingskort-terminaler og banker.
Så har de kriminelle lige pludselig adgang til hele dit liv.
En pinkode kan ændres hvis den er komprimenteret, det kan dit fingeraftryk ikke.

  • 0
  • 0
Log ind eller Opret konto for at kommentere