I přesto, že nový iPhone 5s používá pro Touch ID kapacitní senzor otisků prstů, podařilo se jej přelstít skupině Chaos Computer Club již dva dny od chvíle, kdy se začal oficiálně prodávat. Kapacitní senzor sice zajišťuje, že jej není možné na rozdíl od optického senzoru možné překonat pomocí fotografie, ovšem to platí jen pro běžnou fotografii. Pánové z Chaos Computer Club na to šli trošku jiným způsobem, pomocí kterého je možné překonat téměř každý senzor otisků prstů na světě a který se používá také ve filmech.
Celý postup spočívá v tom, že je nejprve nutné vyfotografovat otisk skutečného uživatele v rozlišení 2400 dpi. Výsledný obraz se musí digitálně vyčistit a zajistit, aby z něho vznikl skutečně jen otisk prstu a to navíc pouze některých částí. Následně se převrácení otisk prstu vytiskne na laserové tiskárně s rozlišením minimálně 1200 dpi na transparentní list papíru s použitím silné vrstvy toneru. Následně je nutné pomazat vytisknutý otisk speciálním lepidlem na Latex, které se používá na lepení velmi tenkých vrstev latexu do tlouštky 3mm a nazývá se také jako Latex Milk nebo lepidlem na dřevo a nechat vše zaschnout. Poté se otisk musí mírně navlhčit a můžete jej přiložit na Touch ID. Latexové lepidlo je podle serveru makinglatexclothing.com možné celkem běžně zkaoupit například v online obchodech, stejně tak jako lepidlo na dřevo.
Útočník tímto postupem v podstatě dokáže nasimulovat vnější vrstvu pokožky, která je vodivá a čidlo na ni reaguje, zatím co subdermální vrstva zůstává v pozadí díky tomu, že je použita silná vrstva toneru. Speciální lepidlo nebo silikon poté zajistí reakci senzoru. Detailně je postup popsán přímo na oficiálních stránkách Chaos Computer Club. Celý vtip je však v tom, že vyfotografovat něčí prst v rozlišení 2400 DPI není o tom ,že vezmete nepodařený otisk ze skleničky, ze které se napil, ale o úplně jiné fotografii, kterou není zrovna snadné pořídit. Podle, pro naše čtenáře již starého známého Michala Líšku (www.foxon.sk), navíc s jakýmkoli sériově vyráběným fotoaparátem není možné takovou fotografii vyfotit, je nutné získat otisk prstu přes skener. Pokud tedy svůj prst nepřiložíte na skener, je pro útočníka mnohem snadnější polomit vašeho heslo, než získat otisk v potřebném rozlišení. Pánové tedy předvedli co je technologicky možné za idálních podmínek a zejména pak za spoluúčasti majitele telefonu. Ovšem nejedná se o nic, co by bylo v reálném světě použitelné a využitelné, bezpečnost uživatelů tedy tímto postupem skutečně není ohrožena a nemusíte se ničeho obávat.
Jak funguje samotný senzor Touch ID?
Zatím co vnější vrstva kůže je nevodivá, subdermální vrstva za ni je vodivá. To znamená, že když se dotkne prst senzoru otisků prstů ve vašem iPhone 5S, senzor změří nepatrné rozdíly ve vodivosti, které jsou způsobeny vyvýšenou částí otisku prstů, díky čemuž se vytvoří samotný obraz otisku. Obraz otisku prstů je vytvořen jen z vyšších částí kůže, protože právě hlouběji v těchto částech je již elektrická energie vedena, zatím co v prohlubních nikoli. Podle serveru techhive.com, který patří mezi skutečně odborné média v oblasti IT, je právě volba kapacitního senzoru mnohem lepší než volba optického senzoru.
Ten je totiž náchylnější na rozbití například při pádu a zejména je jej možné snadněji oklamat, například pomocí velmi kvalitní fotografie otisku vašeho prstu. Techhive.com také upozorňuje na fakt, že Apple pravděpodobně využívá kroužek kolem Home Buttonu pro přidání velmi malého proudu na samotné Home Button tlačítko, díky čemuž je otisk čitelnější pro samotný senzor.
Takže si ted všichni budou hrát na Mission Impossible a Ethana Hunta. ^^
Som zvedavy ako zareaguju na tuto spravu chlapci z Wallstreetu…
Zavedení detekce biometrických údajů je největší chybou, kterou bylo možné udělat. Problém je v tom, že tyto údaje, na rozdíl od PINu, nemůžete změnit. Jsou navždy pevně svázány s vaši identitou. Jejich únik může mít v budoucnu až fatální následky.
Ještě bych poopravil, že není potřeba dělat fotografii 2400 DPI. Stačí, když uniknou data přímo ze senzoru. A to je jen otázka času. Zejména proto, že je možné je centrálně skladovat. Takže nakonec „ukrást“ někomu otisk prstu bude daleko snazší, než se píše v článku.
parmon: presne z rovnakého centrálneho skladu by sa bez kryptovania dali vyťahovať PIN kódy, takže to až tak „snažší“ nebude, pretože je jednoduchšie vytiahnuť zo skladu PIN a zadať ho do telefónu, ako vytiahnuť otlačok a vyrobiť tú latexovú formu..vďaka kryptovaniu to nie je a nebude možné.
@tombenetin Nevěř tolik kryptografii. Jelikož ji mám vystudovanou, tak si dovolím říct, že vše je jen otázka času. To co se dostává na povrch ohledně aféry NSA je jen špička ledovce. Na rovinu. Jde to už totálně mimo mé chápání a vzdělání. To je hra pro jiné borce. Ale mám alespoň vhled.
Když dojde k prolomení DB skladu s byť zašifrovanými biometrickými údaji, má útočník řádově roky na prolomení a ty mezitím tyto údaje nezměníš. Na rozdíl od PINu (hesla), který změníš během minuty. Chápeš ten rozdíl? Uživatel, který si myslí, že je v bezpečí není ostražitý a je daleko zranitelnější.
parmon: ak by sme hovorili o šifrovaní hesiel do zaujimavých účtov tak ti dám určite za pravdu, ale myslím že nikto nebude roky rokúce dešifrovať, pre nejaké SMS/FB účet a podobne, a ak by boli niektorí ľudia na pochybách, vždy vedia využiť PIN+BIOMETRIU, takže oproti pôvodnej ochrane pribudol jeden použitelný biometrický ochranný prvok pre pohodlie bežných ľudí ako som ja, mne by nevadilo bytostne ak by sa mi niekto do telefónu dostal a určite by som nepoužíval PIN + fingerprint ale iba FP.. a takýchto ľudí je tona, ale naozaj to nie sú budúce obete FP mafie :) zhrnutie je také, že oproti bezpečnému PINu pribudol druhy prvok a to otlačok :)
jo jasny ja asi tak budu pocitat s tim ze mi cikan v tramvaji bude skenovat otisk prstu … stejne tak muzete nekomu naskenovat sitnici … prolomit se da vsechno az na sifry 2048-4096 bitu a vejs a i na tech pracujou a jestli nekdo vyrobi fungujici kvantovej pocitac tak sou tyhle sifry vsechny zbytecny … v bezpeci na tomhle svete nejsou ani informace v nasich hlavach … tak proc tu delat halo s timhle kdyz to bylo naprosto jasny ze se to bude dat vochcat :)
@tombenetin Ono jde o to, že otisk prstu vás už jednoznačně identifikuje, navždy. Vás, jako konkrétní osobu. PIN neříká o vás zhola nic. Možná datum narození :) Únik globální databáze otisku prstů miliónu uživatelů bude průšvih. A je to jen otázka času.
Dešifrovat takovou databázi pak dává smysl ne proto, abych to zneužil u dotyčného na telefonu, ale proto, abych jej spojil s dalšími službami, kde tento otisk použije. Mimochodem Samsung chystá také telefon s otiskem prstů, takže to není blbost „jen“ ze strany Applu. Jde o princip. Kam jsme ochotni zajít se sdílením a poskytováním osobních informací. Případně úvaha jak toho zneužít.
parmon:
si asi jeden z mala ludi, ktori uz teraz chapu na co sa to bude dat v buducnosti zneuzit
ak by bol napriklad vstup do obchodu, platenie v obchode a ine sluzby na odtlacok prsta, a niekto dostane tvoj odtlacok a bude to vediet dekryptovat co nie je az taky problem pokial ma niekto server o rozlohe par km 2 v USA tak to bude mat za par minut,
podla odtlacku prstu mozu potom sledovat kde uzivatel bol bez toho aby nosil mobil pri sebe a podobne, teda je to iste sledovanie pohybu a aktivit bez potreby chipu ktory odosiela udaje
aby sa vytvoril system totalnej kontroly nad spolocnostou, je odtlacok prsta len zaciatkom toho co bude dalej, budes niekomu nepohodlny = nesuhlasit zo systemom, moze ti vlada/policia za to ze povies svoj nazor zablokovat odtlacok prsta na pristup do obchodu/banky a podobne a budes strateny navzdy
uz dnes je pokuta vo Francuzku ak nosis tricko normalnej rodiny = matka + otec + deti, lebo je to vraj diskriminacia teplych….
teda bud budu raz pokuty za porusenie zakonov a nariadeni, alebo ta rovno odstavia od prijmov a sluzieb cez softverovu blokaciu odtlacku prsta/ neskor chipu v ruke a podobne…. vsetko je to jednoduche
@parmon
Lépe bych to nenapsal. Zdejší to pochopí později, nebo až se to bude týkat konkrétně jich samotných.
Takze pro prekonani senzoru je potreba „vlastnik“ telefonu, aby otisk sam dobrovolne oskenoval scannerem s rozlisenim 2400dpi?
Co to je zase kachna…
Raději bych věřil vaší verzi, ale v původním článku píšou že otisk získali použítim běžných prostředků, vyfocením otisku ze skla „A fingerprint of the phone user, photographed from a glass surface“
Tak jak to tedy je?
Tak ako to je? Vas odkaz na CCC smeruje na takmer 9 rokov!!! stary postup vytvorenia otlacku. Tento sice mohol oblbnut stare, opticke snimace, ale nie ten novy, kapacitny. V sprave ( http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid ) sa uz spomina 2400 sken. Zatial som skor skepticky voci takymto vyhlaseniam…