» »

Zlomljena "zaščita" iPhona 5S na podlagi prstnih odtisov

Zlomljena "zaščita" iPhona 5S na podlagi prstnih odtisov

ccc.de - Nemška hekerska skupnost Chaos Computer Club je objavila novico, da je razbila varnostno funkcijo iPhona 5S, ki za odklep telefona uporabi do 5 različnih prstov oz. njihovih prstnih odtisov. TouchID, kakor je marketinško ime funkcije, je med drugim sposoben prepoznati tudi šapje odtise vaše mačke.

Za razbitje so uporabili enostavno metodo: z visoko ločljivostjo so fotografirali na stekleni površini odtisnjen prstni odtis, ga s programom za obdelavo slik prečistili in ga z laserskim tiskalnikom natisnili na folijo. Natisnjeno teksturo odtisa so zatem premazali z lateksom (dobro deluje tudi Mekol), da so dobili relief odtisa, ki so ga potem lahko odstranili s folije in enostavno uporabili na senzorju. Edina novost, ki pa je po navedbah CCC ni bilo težko premagati, je zgolj višja resolucija senzorja.

Ob tem se poraja vprašanje: ali lahko sploh kar koli zavarujemo na ta način, kakor nas učijo razni holivudski filmi, kjer imajo zlikovci svoj sef zavarovan s prstnim odtisom?

Prstnega odtisa ne moremo spremeniti, hkrati pa lahko iz odtisnjenega prstnega odtisa pridobimo teksturo, ki jo bo senzor zaznal kot pravi prstni odtis, s čimer je lastnik prstnega odtisa postavljen v izrazito slabši položaj. Kvaliteten prstni odtis je zelo lahko optično odčitati z gladke površine, teh pa imamo v svojem okolju veliko. Prva taka senzorju najbližja površina je že zaslon mobilnega telefona, puščamo pa jih tudi v taverni, ko vam krčmar prinese kozarec vašega najljubšega osvežilnega prevretka, na kljukah vrat in še na vseh drugih gladkih površinah, ki se jih dotaknemo. Naše "geslo" za telefon tako vsak dan delimo z vsemi, ki nas obkrožajo.

Vaše geslo je zelo enostavno pridobiti brez vaše vednosti, oziroma v kolikor imate opravka z nasprotnikom, ki mu ni težko uporabiti prisile (npr. policija ali mafija), z vašo vednostjo in brez vašega privoljenja. Zato se je potrebno zavedati, da takšno "geslo" ne nudi varnostne zaščite, ampak je zgolj navajanje širše skupine uporabnikov na slabo prakso, ki nam daje lažni občutek varnosti.

Zdaj odštevamo čas do tega, da zlomijo zaščiteno hrambo prstnega odtisa.

23 komentarjev

Bolf3nk ::

Zdaj odštevamo čas do tega, da zlomijo zaščiteno hrambo prstnega odtisa



To bo lušno ja. Pol bodo copsi našli random odtise pri ropih :))

dotomaz ::

Kolikor sem zasledil, se ne hrani fotografija prstnega odtisa, ampak hash koda.

Tako da si z njo pri podtikanju dokazov pri umorih ne bo mogel nihče kaj preveč pomagat.

dr.Akula ::

A Severed Finger Will Not Be Able to Access a Stolen iPhone 5S
Kako so pa to zaobšli? So si relief nadeli na prste?
ni podatka

fosil ::

dr.Akula je izjavil:

A Severed Finger Will Not Be Able to Access a Stolen iPhone 5S
Kako so pa to zaobšli? So si relief nadeli na prste?

Da.
Tako je!

Redorange ::

Ob tem se poraja vprašanje: ali lahko sploh kar koli zavarujemo na ta način, kakor nas učijo razni holivudski filmi, kjer imajo zlikovci svoj sef zavarovan s prstnim odtisom?


Mythbusters so to že pred časom razbili, in to s sprintanim papirjem
nekje od 3 minute naprej

HyperKiller ::

A ni to en temeljno zgrešen koncept?

Zahteve za uporabniška imena:
Unikatnost: da.
Skritost: ne.

Zahteve za gesla:
Unikatnost: ne
Skritost: da

Kam sodi prstni odtis?
Pri Microsoftu uspešno izrezujejo varnostne luknje.

techfreak :) ::

Pod uporabniška imena, jasno. Ni zgrešen koncept ker je namenjen temu da prepreči možnost da bi ti vsak brskal po telefonu. Problem trenutnih iPhone telefonov je bil v številu kraj in dejstvu, da veliko uporabnikov nima nastavljene nobene zaščite v smislu kode ob odklepu telefona. Prstni odtis nekako rešuje ta problem, še vseeno pa je po varnosti verjetno slabši od 4 mestne kode.

Bolj pomembno vprašanje je kam vse se prstni odtisi shranjuje ter kako so varne shrambe le teh.

Haniball ::

dotomaz je izjavil:

Kolikor sem zasledil, se ne hrani fotografija prstnega odtisa, ampak hash koda.

Tako da si z njo pri podtikanju dokazov pri umorih ne bo mogel nihče kaj preveč pomagat.


To pa sploh ni ovira. Geslo lahko imaš tudi hashirano, pa ga lahko brez problema napadaš. Poznati moraš hash funkcijo, nato pa nek prstni odtis pred primerjavo le hashiraš. Možnost klasičnih dictionary napadov, pri čemer je dictionary neka baza prstnih odtisov.

Mogoče jih bo rešilo le to, da ne vzamejo celotnega odtisa ampak le na robu prsta (ali pa si jaz njihov čitalec narobe razlagam).

MadMax ::

Šalabajzarski senzor, ki z linijskim pogledom gleda samo relief pri potegu prsta.
Če bi spotoma zahteval vsaj še pulzirajočo prekrvavitev (če ne še določeno temperaturo), bi bilo mnogo težje imitirat živ prst. Aja, cena pa velikost ne bi spodnesla, jabolčnikarji pa ne bi kupili dražje igrače 8-)
Stvari so preproste, le ljudje smo neverjetni mojstri, da jih zakompliciramo.

Blisk ::

Kaj folku še vedno ni jasno, da ta senzor ni bil narejen za varovanje telefona, pač pa za pridobivanje podatkov oz. prstnih odtisov uporabnikov, ki jih bodo pošiljali raznoraznim NSA agencijam. Saj niso tako neumni pri Apple, da ne bi kdo pred izdajo telefona prišel na to idejo in probal.
Kot pravim, verjetno bo znala naslednja različica iNadzora brati tudi vašo DNK. Stavim za pivo, da bo to kmalu znal Apple in bo predstavljeno spet kot za vašo varnost in zadeva bo narejena tako LAME da se jo bo dalo shekat takoj.

kronik ::

MadMax je izjavil:

Šalabajzarski senzor, ki z linijskim pogledom gleda samo relief pri potegu prsta.
Če bi spotoma zahteval vsaj še pulzirajočo prekrvavitev (če ne še določeno temperaturo), bi bilo mnogo težje imitirat živ prst. Aja, cena pa velikost ne bi spodnesla, jabolčnikarji pa ne bi kupili dražje igrače 8-)


Kaj naj čakam 10s, da se mi cigl odklene? Pomagal bi kak hiter senzor za temperaturo, ki bi preveril ali je na senzorju 'živ' prst. Najbolj varen je po mojem še vedno črkovni passcode z vsaj 6 znaki.

keber ::

kronik je izjavil:

Pomagal bi kak hiter senzor za temperaturo, ki bi preveril ali je na senzorju 'živ' prst. Najbolj varen je po mojem še vedno črkovni passcode z vsaj 6 znaki.

In recimo pozimi, ko imaš prezeble prste, kaj storiš takrat?

nekikr ::

Imaš zraven še Samsunga :)

Dumber ::

Ki bo takrat verjetno že tudi imel čitalec prstnih odtisov =)

Drugače pa, itak vas imate večina pasuše, za katere ste morali, dati prsti odtis. In te prstne odtise so itak že poslal nsa-ju. Nevem zakaj vas skrbi ta pri applu.

Korencek ::

MadMax je izjavil:

Šalabajzarski senzor, ki z linijskim pogledom gleda samo relief pri potegu prsta.
Če bi spotoma zahteval vsaj še pulzirajočo prekrvavitev (če ne še določeno temperaturo), bi bilo mnogo težje imitirat živ prst. Aja, cena pa velikost ne bi spodnesla, jabolčnikarji pa ne bi kupili dražje igrače 8-)


a imitirat prekrvavitev bi blo pa težko naredit? Najbrž bi že zadostovala sprogramirana led luč ali pa preprosto nek material nafilan z tekočino in pa sprogramirana pumpica..
Mislim da bi tudi tvojo zaščito hitro zaobili.

Poanta je da se vsako zaščito zaobiti.. če pa bi bila pa tako učinkovita ter vsebovala neke biometrične podatke, potem pa bi člani tega foruma pa varuhi pravic skočili v luft in prepovedali prodajo v EU. :)
Smisel smisla je v nesmislu

Korencek ::

Blisk je izjavil:

Kaj folku še vedno ni jasno, da ta senzor ni bil narejen za varovanje telefona, pač pa za pridobivanje podatkov oz. prstnih odtisov uporabnikov, ki jih bodo pošiljali raznoraznim NSA agencijam. Saj niso tako neumni pri Apple, da ne bi kdo pred izdajo telefona prišel na to idejo in probal.
Kot pravim, verjetno bo znala naslednja različica iNadzora brati tudi vašo DNK. Stavim za pivo, da bo to kmalu znal Apple in bo predstavljeno spet kot za vašo varnost in zadeva bo narejena tako LAME da se jo bo dalo shekat takoj.


uf.. bravo..
a ti nimaš osebne? a si mogoče dal prstni odtis pri pridobitvi tega dokumenta? no, jst vem da sem moral,..

/sarkazm on
nikoli ne bom pozabil tega dneva,.. počutil sem se tako umazanega, diskriminiranega.. ukradli so mi vse pravice!!!
/sarkazm off

pa da nebi rekel, da je to tehnologijo uporabljalo prej že nevemkoliko podjetij,.. ampak ne, ko to uporabi Apple, pol je pa to največji zločin.

Torej, stava za pivo je sprejeta,.. ko bo izšel nov iPhone, te kontaktiram, pričakujem kvalitetno hladno pivo!
Smisel smisla je v nesmislu

Keyser Soze ::

Poanta te zaščite je praktičnost. Ker odvrne 99,999% potencialnih (predvsem pa realnih groženj vsakdanjemu uporabniku iPhone) groženj. Hi-Res odčitek odtisa (koliko DPI je že posnetek?) ni mala šala, in če nimaš resnega namena pridobit podatke od nekoga potem se s tem ne boš šel zajebavat.

Če pa imaš opravka s policijo ali drugo stranjo zakona, potem ti pa "boh pomagaj". Senzor na iPhoneu ti sigurno ne bo mogel oz. ni poklican za to.
OM, F, G!

kronik ::

keber je izjavil:

kronik je izjavil:

Pomagal bi kak hiter senzor za temperaturo, ki bi preveril ali je na senzorju 'živ' prst. Najbolj varen je po mojem še vedno črkovni passcode z vsaj 6 znaki.

In recimo pozimi, ko imaš prezeble prste, kaj storiš takrat?


Takrat si prst najprej nekam vtakneš, da se zagreje, potem pa odkleneš telefon. >:D

Tudi ko si premražen je temperatura telesa okoli 36,5 stopinj in Če bi senzor zaznal nižjo temperaturo od normalne, bi lahko samodejno poklical na 112. Ravno tako ob povišani temperaturi, bi poslal rezervacijo k zdravniku.

Skratka še vedno čakam na NFC in temperaturne senzorje.

Jupito ::

Korencek je izjavil:

Blisk je izjavil:

Kaj folku še vedno ni jasno, da ta senzor ni bil narejen za varovanje telefona, pač pa za pridobivanje podatkov oz. prstnih odtisov uporabnikov, ki jih bodo pošiljali raznoraznim NSA agencijam. Saj niso tako neumni pri Apple, da ne bi kdo pred izdajo telefona prišel na to idejo in probal.
Kot pravim, verjetno bo znala naslednja različica iNadzora brati tudi vašo DNK. Stavim za pivo, da bo to kmalu znal Apple in bo predstavljeno spet kot za vašo varnost in zadeva bo narejena tako LAME da se jo bo dalo shekat takoj.


uf.. bravo..
a ti nimaš osebne? a si mogoče dal prstni odtis pri pridobitvi tega dokumenta? no, jst vem da sem moral,..

/sarkazm on
nikoli ne bom pozabil tega dneva,.. počutil sem se tako umazanega, diskriminiranega.. ukradli so mi vse pravice!!!
/sarkazm off

pa da nebi rekel, da je to tehnologijo uporabljalo prej že nevemkoliko podjetij,.. ampak ne, ko to uporabi Apple, pol je pa to največji zločin.

Torej, stava za pivo je sprejeta,.. ko bo izšel nov iPhone, te kontaktiram, pričakujem kvalitetno hladno pivo!


Težko se je odločiti kaj je večji biser: konspirativne fore ali logika po kateri je nekaj ok, če se nekaj podobnega že dogaja. Alu folija je v modi, ampak tadugemu laho vzameš 200 Eur, potem pa še 200, daš 200 nazaj in zdaj ne more klicat policije, sicer mu pa glava eksplodira. :D
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

BigWhale ::

Keyser Soze je izjavil:

Poanta te zaščite je praktičnost. Ker odvrne 99,999% potencialnih (predvsem pa realnih groženj vsakdanjemu uporabniku iPhone) groženj. Hi-Res odčitek odtisa (koliko DPI je že posnetek?) ni mala šala, in če nimaš resnega namena pridobit podatke od nekoga potem se s tem ne boš šel zajebavat.


Tocno to, takisto je s 'kljucavnicami' na prstni odtis.

Ne kupis je zato, ker bi bila bolj varna ampak zato, ker je bolj prakticna. Varnost je tam-tam. En 'cigo', ki po ulici hodi in probava kdo ima odklenjeno hiso in kje lahko s pajserjem not pride, ti ne bo sel ponarejati prstnega odtisa. Ko se nekdo odloci, da ti bo v hiso vdrl, je vseeno kaksno kljucavnico imas, se posebaj, ce zivis v pritlicju in imas steklena okna brez resetk. :>

mihec87 ::

Kolikor vem se telefoni kradejo za preprodajo ne za krast osebne podatke..Ukraden telefon pa itq prvo vidi kabl z računalnikom na drugem koncu ter nov fw..

LitralSM ::

kronik je izjavil:

keber je izjavil:

kronik je izjavil:

Pomagal bi kak hiter senzor za temperaturo, ki bi preveril ali je na senzorju 'živ' prst. Najbolj varen je po mojem še vedno črkovni passcode z vsaj 6 znaki.

In recimo pozimi, ko imaš prezeble prste, kaj storiš takrat?


Takrat si prst najprej nekam vtakneš, da se zagreje, potem pa odkleneš telefon. >:D

Tudi ko si premražen je temperatura telesa okoli 36,5 stopinj in Če bi senzor zaznal nižjo temperaturo od normalne, bi lahko samodejno poklical na 112. Ravno tako ob povišani temperaturi, bi poslal rezervacijo k zdravniku.

Skratka še vedno čakam na NFC in temperaturne senzorje.

Temperatura ekstremitet je.nizja od temp. jedra.
Vprasanje pa je, zakaj Samsung tega ŠE nima. 10 let stari mobiteli imajo omenjeno funkcijo.

Keyser Soze ::

mihec87 je izjavil:

Kolikor vem se telefoni kradejo za preprodajo ne za krast osebne podatke..Ukraden telefon pa itq prvo vidi kabl z računalnikom na drugem koncu ter nov fw..

Ja, tu pa pride v poštev Activation Lock in onemogočanje reseta telefona. Če je ne zlomijo v bližnji prihodnosti.
OM, F, G!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zlomljena "zaščita" iPhona 5S na podlagi prstnih odtisov

Oddelek: Novice / Varnost
238228 (6280) Keyser Soze
»

Nemški varuh zasebnosti proti čitalcu prstnih odtisov v iPhonu (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10422811 (17307) AndrejO
»

Septembra iPhone 5S in cenejši iPhone 5C (strani: 1 2 )

Oddelek: Novice / Apple iPhone/iPad/iPod
5413396 (9360) blackbfm

Več podobnih tem