Video: The magic of mini feat. Tierra Whack – Apple (December 2024)
Nou, dat duurde niet lang. Apple's iPhone 5S kwam vorige week uit, met een nieuwe Touch ID-vingerafdruksensor ingebouwd in de Home-knop. Kort daarna tweette Nick DePetrillo (@NickDe) deze uitdaging: "Ik betaal de eerste persoon die met succes een afdruk van het scherm van de iPhone 5s haalt, reproduceert en de telefoon ontgrendelt in <5 probeert $ 100." Zijn istouchidhackedyet.com/ website nodigde anderen uit om hun eigen aanbiedingen te plaatsen. Nu, minder dan een week later, is de collectieve beloning van dollar, bitcoins en drank opgeëist.
En de winnaar is...
In een blogpost van afgelopen zaterdag kondigde de eerbiedwaardige Chaos Computer Club in Duitsland aan dat hun biometrische hackteam met succes een iPhone 5s had ontgrendeld met een nep-vingerafdruk. "Een vingerafdruk van de telefoongebruiker, gefotografeerd vanaf een glazen oppervlak, was genoeg om een nepvinger te maken die een iPhone 5s kon ontgrendelen die beveiligd was met Touch ID, " zei de post. "Dit toont - nogmaals - aan dat vingerafdrukbiometrie ongeschikt is als toegangscontrolemethode en moet worden vermeden."
DePetrillo kondigde zeer specifieke criteria aan voor het claimen van de premie: "Het enige dat ik vraag is een video van het proces van print, lift, reproductie en succesvol ontgrendelen met gereproduceerde print." Hoewel de CCC-videodemonstratie niet precies aan die voorwaarden voldeed, accepteerde DePetrillo het als bewijs.
De buit tellen
De winnaar van de buit, die de naam Starbug draagt, is van plan het aan een CCC-spin-off te geven genaamd Raumfahrtagentur. Ik berekende precies wat Starbug zou krijgen als elke deelnemer daadwerkelijk zou doorkomen met de beloofde betaling. Het contante totaal zou $ 8.364, 01, 100 euro en het bitcoin-equivalent van nog eens $ 2.779 of zo zijn. Andere willekeurige aanbiedingen zijn zeven flessen wijn en sterke drank, een gratis patentaanvraag voor de techniek en een 'smerig seksboek'.
Een aanbieding van $ 10.000 verscheen kort, maar werd kort voordat het hacknieuws bekend werd gemaakt. Een handvol van degenen die contant geld aanbieden, hebben het geld daadwerkelijk in escrow geplaatst; die bedragen worden gegarandeerd betaald. Starbug krijgt op zijn minst $ 900 en 0.661 bitcoins. Wil je deelnemen aan de crowdfunded-beloning? U kunt dit nog steeds doen door uw aanbieding (minimaal $ 50 of 0, 4 bitcoin) te tweeten naar @IsTouchIdHacked.
Bevestigd door uitkijk
Mark Rogers, een onderzoeker bij Lookout Security uit San Francisco, wist ook Touch ID te hacken en publiceerde gisteren alle details. Ondanks het feit dat hij erin slaagde het te hacken, vindt Rogers nog steeds dat Touch ID "geweldig" is.
Rogers wijst erop dat het hacken van Touch ID niet eenvoudig is. Het "vertrouwt op een combinatie van vaardigheden, bestaand academisch onderzoek en het geduld van een Crime Scene Technician" om een nep-vingerafdruk te produceren. Zelfs als u over de nodige vaardigheden beschikt, is het niet eenvoudig. "Het is een langdurig proces dat enkele uren duurt en voor meer dan duizend dollar aan apparatuur gebruikt, waaronder een hoge resolutie camera en laserprinter." Zijn techniek creëerde de afdruk op een met koper bekleed bord, terwijl CCC een transparantie gebruikte. Om een telefoon daadwerkelijk te ontgrendelen, moest hij de nep-vingerafdruk op een vochtige vinger plakken.
Handige beveiliging
Waarom is Touch ID nog steeds geweldig? Rogers wijst erop dat momenteel de helft van alle iPhone-gebruikers niet eens een eenvoudige pincode gebruikt, omdat het niet handig is. Touch ID daarentegen is het toppunt van gemak. Op de Home-knop drukken doe je al; het toevoegen van vingerafdrukverificatie aan het proces vereist geen extra acties.
Wat Rogers echt zou willen zien, is tweefactorauthenticatie, bijvoorbeeld Touch ID plus een toegangscode. Hij stelt zich een systeem voor waarbij u bijvoorbeeld met een vingerafdruk op uw bank inlogt, maar een toegangscode invoert om daadwerkelijk een transactie uit te voeren. Ik ben het ermee eens. Vingerafdrukverificatie is onjuist, viercijferige pincodeverificatie is onjuist, maar de twee samen zorgen voor een betere beveiliging.
Vroege beschrijvingen van Touch ID deden het klinken alsof de technologie alleen zou werken met een echte, levende vinger of duim. Het feit dat een opgeheven afdruk kan misleiden, vraagt me af of we te snel spraken toen we zeiden dat een afgehakte duim niet zou werken. Maar ik weet niet zeker of ik details wil horen over onderzoek dat in die richting is gericht.