» »

Applov TouchId je mogoče prelisičiti tudi z odlitkom iz dobro narejene fotografije

Applov TouchId je mogoče prelisičiti tudi z odlitkom iz dobro narejene fotografije

vir: ccc.de

vir: ccc.de
ccc.de - Te dni v Hamburgu poteka 31. redni kongres nemškega Chaos Computer cluba (31C3), zato seveda ne manjka vesti o novih hekerskih napadih na te ali one rešitve. Ena letos bolj odmevnih zadeva še en napad na Applov TouchID senzor, in sicer kar s pomočjo dovolj podrobne fotografije žrtvinega prsta.

Jan Krisller (znan pod psevdonimom Starbug) se je oktobra udeležil tiskovne konference nemške obrambne ministrice Ursule von der Leyen ter pri tem izdelal več fotografij njenih rok. Iz ene od njih (na sliki) je potem uspel izluščiti njen prstni odtis, ga natisniti na prozorno folijo, ter potem z tekočim lateksom ali z lepilom za les izdelati negativ, s katerim se da prelisičiti Applov senzor.

Seveda ga ni mogel stestirati na ministričinem iPhonu (gospa se namreč - oz. pričakovano - ni hotela odzvati na njegovo vabilo), je pa povedal, da tehnika lepo deluje na primerljivih fotografijah svojih lastnih prstov.

Napad kot tak je sicer zanimiv, vendar najbrž ni nič bolj praktičen od dosedanjih napadov, ki so temeljili na kraji odtisov s kozarcev in drugih podobnih površin. Še vedno je treba žrtvi priti blizu, potem pa še dobiti dostop do njenega telefona, in to še preden ta ugotovi, da je bil odtujen in ga potem na daljavo zaklene. Da pa to predavanje vedeti, da odklepanje s prstnim odtisom najbrž ni primerno za varnostno bolj občutljiva okolja, približno tako, kot ni bilo primerno, ko je kanclerka Merklova zavoljo "neuporabnosti" njej dodeljenega službenega telefona preprosto začela uporabljati svoj osebni telefon in to v delu mesta, kjer kar mrgoli veleposlaništev zainteresiranih tujih velesil...

Za več o 31C3 glejte njihovo spletno stran oz. še raje Twitter.

19 komentarjev

Markoff ::

Tehnološki inovatorji my ass. Še malo, pa jih bo nekdo imenoval sikjuriti guruz.

So pa marketinški inovatorji, tu pa ni dvoma.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Iatromantis ::

Kako ne razumejo, da biopodatki niso ustreznica geslu, ampak le uporabniškemu imenu?

Jupito ::

Ni tak problem, da ne bi razumeli (kjerkoli je to v uporabi v podjetjih, je vedno del dvostopenjske avtentikacije), problem je v tem, da prodajajo svoje izdelke večinoma ljudem, ki nočejo vpisovati gesel.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

cegu ::

Iatromantis je izjavil:

Kako ne razumejo, da biopodatki niso ustreznica geslu, ampak le uporabniškemu imenu?


Nevem kako to ti razumes.

Jupito ::

Biometrični podatki so čisto fajn za ugotavljanje identitete, kot varovalke (vsaj na dolgi rok) ne izgledajo najbolje - če se jih da potvoriti, jih ne moreš zamenjati, oz. dobiš še eno tehnološko tekmo, ker poleg odstranjevanja drugih ranljivosti rabiš tudi vedno bolj sofisticiran "skener" (in/ali dodatno kompliciranje z omejitvami za uporabnike).
Trenutno so dejansko boljši od klasičnega pina, ker ga skoraj nihče hotel uporabljati in ker je potvarjanje še vedno v domeni eksperimentatorjev in težkokategornikov. Sam klinc pa vedi, koliko bo v prihodnosti spet vplivala "čredna varnost" - v primeru pin-a je bilo jasno, da izklop tatovom olajša delo, ravno tako pa tudi odgovor večnih pragmatikov: "Kolikokrat so ti pa že ukradli telefon?!"
Morda pa bo vendarle nekaj koristnega iz tega: da se bo "'lupi narod" končno navadil, da se telefonov in podobnega pač ne pušča odklenjenih.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

MrNighthawk ::

Samo prstni odtis redko zadostuje, ker je to naprava, ki jo vedno nosiš s seboj. Veliko lažje boš "prepričal" nekoga, da ti telefon odklene kot pa, da ti pove PIN. Mrtvo pijan, nezavesten, trd space ali pa samo prst odrežeš...problem solved ;)

PIN + prstni odtis pa mogoče kam prideš :)

Zgodovina sprememb…

leiito ::

Markoff je izjavil:

Tehnološki inovatorji my ass. Še malo, pa jih bo nekdo imenoval sikjuriti guruz.

So pa marketinški inovatorji, tu pa ni dvoma.


Apple dejansko zelo malo oglašuje, ker so daleč najboljša reklama zadovoljni kupci. In je zlati standard tehnoloških inovacij. Morda res ne pomaga, če ti kdo odreže prst, ampak Touch ID dela, hitro in 100% zanesljivo prepozna tudi prste na nogi, za razliko od Samsunga in drugih. Da ni več treba izgubljati časa z vtipkavanjem 18-mestnega gesla od vsakem odklepu, namestitvi ali updejtu appov, je ena njihovih boljših inovacij zadnje čase, skupaj s continuity in skeniranjem+vektorizacijo podpisa prek kamere v QuickTimu gotovo med top 3.

Zgodovina sprememb…

  • predlagal izbris: Apofis ()

GGGGG ::

Apple dejansko zelo malo oglašuje, ker so daleč najboljša reklama zadovoljni kupci.


Njihov advertising budget v 2013 je bil cca. 1.2 milijarde USD. To so dejansko samo oglasi. Med oglaševanje pri Applu lahko šteješ tudi njihove flagship store na 5th avenue, v Londonu, Parizu... Obstajajo tudi večji oglaševalci, ampak težko rečeš, da zelo malo oglašujejo. Samsung zapravi dobre 4 milijarde, pa imajo nekajkrat daljši product line.

100% zanesljivo prepozna tudi prste na nogi, za razliko od Samsunga in drugih.


100% zanesljiv definitivno ni. Sploh, ko je zunaj mraz ali pa imaš malo vlažne prste. Me pa zanima koliko ostalih telefonov si probal poleg samsunga. Scaner na mojem Huaweiju dela boljše kot na iPhonu (beri: je bolj natančen, hitrejši in always on).

leiito ::

No ja, relativno in najbrž se boš strinjal, da ni marketinga, ki bi te prepričal, da kupiš še en izdelek proizvajalca, s katerim nisi bil zadovoljen.
http://www.tuaw.com/2013/11/04/apples-a...

Za Huawei res ne vem, se pa strinjam, da je always on odlična ideja, ker prihrani 0.1 sekunde in izgubo energije pri pritisku s prstom.

Se mi zdi pa dobra rešitev, boljša kot Applova, da je pri Huaweiju, če sem prav razumel, senzor na hrtbni strani telefona oz. tam, kjer ti prst dejansko sede, ko vzameš telefon v roke.

Zgodovina sprememb…

  • spremenil: leiito ()

GGGGG ::

No ja, relativno in najbrž se boš strinjal, da ni marketinga, ki bi te prepričal, da kupiš še en izdelek proizvajalca, s katerim nisi bil zadovoljen.


Marketing ni enako oglaševanju. Ampak ja, se strinjam, da moraš delati dobre produkte za dolgoročni uspeh. Oz. ne nujno dobre, ampak take, ki zadovoljijo pričakovanja tvojih strank. In Apple to dela odlično.

Jst ::

Prstni odtis = uporabniško ime.

Vseeno je Apple z TouchID za varnost naredil več kot vsi drugi.

Sisteme za branje prstnih odtisov se pa menda da skoraj vse prelisičiti.

Lastniki 'droidov pa povečini niti osnovne pin/pattern nimajo nastavljene.


---

Za Apple obstaja postopek (hack), kako natreniraš telefon, da ti prepozna prst iz vseh možnih pozicij. Natančnega postopka ne vem na pamet, ampak ko greš na novo "trenirati" telefon, to lahko večkrat zaporedoma narediš in si zapomni vse, tudi prejšnje - če je le odtis tvoj. Tako vsakič malenkost drugače obrneš prst in po ene desetem treniranju, bi moral prepoznati tvoj odtis, brez da bi moral paziti, da pravilno položiš prst. Mogoče je to v novi verziji iOS že notri razloženo, a ko je izšel TouchID, je bila to nedokumentirana funkcionalnost v iOS.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

jype ::

Jst> Vseeno je Apple z TouchID za varnost naredil več kot vsi drugi.

Ja? Kako, natanko?

IMO je za varnost največ naredil s tem ko je ponudil kriptiranje datotečnega sistema na telefonu, ne pa nek prstni odtis, ki ga je praktično trivialno odklenit.

Jst> Lastniki 'droidov pa povečini niti osnovne pin/pattern nimajo nastavljene.

To je stvar njihove izbire. Jaz imam na telefonu dolgo geslo, ki ga redno spreminjam.

Zgodovina sprememb…

  • spremenilo: jype ()

Jst ::

>Ja? Kako, natanko?

Statistika NYPD.


>Jaz imam na telefonu dolgo geslo, ki ga redno spreminjam.

Moj ima multilevel auth. in če se zmotiš, gre takoj v panic mode in zaklene vse podatke. Prvo ga moraš zbuditi, zahteva pin, ki ga imam nastavljenega na 16 znakov, v sobi mora biti svetloba, ker mora medtem, ko vtipkavam PIN, prepoznati obraz. Ko je PIN in Obraz prepoznan, moraš v dveh minutah vpisati še drugo "pravo" geslo, sestavljeno iz črk, številk in znakov. V kolikor en security layer javi napako, se sproži overload in imaš 8 sekund časa, da vržeš telefon čim dlje stran, ker ga raznese. Notri je namreč eksploziv - courtesy by Jst.

Do sedaj še nisem imel leakanih slik mojega psa ali neavtorizirane spremembe G+ statusa.

Očintno moji security measures delajo!!!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

leiito ::

Jst je izjavil:

Prstni odtis = uporabniško ime.

Vseeno je Apple z TouchID za varnost naredil več kot vsi drugi.

Sisteme za branje prstnih odtisov se pa menda da skoraj vse prelisičiti.

Lastniki 'droidov pa povečini niti osnovne pin/pattern nimajo nastavljene.


---

Za Apple obstaja postopek (hack), kako natreniraš telefon, da ti prepozna prst iz vseh možnih pozicij. Natančnega postopka ne vem na pamet, ampak ko greš na novo "trenirati" telefon, to lahko večkrat zaporedoma narediš in si zapomni vse, tudi prejšnje - če je le odtis tvoj. Tako vsakič malenkost drugače obrneš prst in po ene desetem treniranju, bi moral prepoznati tvoj odtis, brez da bi moral paziti, da pravilno položiš prst. Mogoče je to v novi verziji iOS že notri razloženo, a ko je izšel TouchID, je bila to nedokumentirana funkcionalnost v iOS.


Tudi brez hacka prepozna prst, vsak prst, ki si ga inštaliral, ne glede kako ga položiš, ker je že sam postopek tak, da ga večkrat položiš in dvigneš iz različnih pozicij.

Gotovo pa sistem potem sproti spremlja in evidentira spremembe, ko se s staranjem krčimo ipd.

Jst ::

Ko je prišel ven, je bilo tako, da ko si treniral Touch in če si mu dal vedno samo konico prsta, je prepoznal samo to konico. Potem so pa ugotovili, da če greš v nastavitve in greš na ponovno treniranje in za vsako zaključeno treniranje malo obrneš prst, da je prvič 80% konice prsta in 20% "nove" površine, in tako nadaljuješ, na koncu prepozna cel prst, ni važno kateri del položiš gor. Brez da bi bilo dokumentirano, si je zapomnil vsa treniranja.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

jype ::

Jst> Očintno moji security measures delajo!!!

Očitno, ampak jaz si kljub temu ne bi upal na telefon, do katerega ima NSA neomejen dostop, shranjevat slik svojega psa.

Jst ::

Jah, če dobiš "The Letter", potem očitno moji varnostni mehanizmi delujejo...

Bolj bi me skrbelo, če ga ne bi dobil.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zheegec ::

z iOS 8 moraš itak večkrat potegniti vsak prst iz druge pozicije, pa ni problemov.
drugo je, če imaš pri Androidu odklepanje s face recognition, kjer ga moraš natrenirati na različna svetlobna okolja itd.
"božja zapoved pravi; <Spoštuj očeta in mater>,
ne govori pa o spoštovanju sodstva."
Janez Janša, 29.04.2014

Furbo ::

Markoff je izjavil:

Tehnološki inovatorji my ass. Še malo, pa jih bo nekdo imenoval sikjuriti guruz.

So pa marketinški inovatorji, tu pa ni dvoma.


Saj če bi se kdo ukvarjal s tem kako prevarati senzor od samsunga, bi bilo to verjetno še lažje. Ampak kdo se bo pa ukvarjal s senzorjem, ki ga še lastniki ne uporabljajo?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ključavnica na prstni odtis/keypad/RFID (strani: 1 2 )

Oddelek: Elektrotehnika in elektronika
6516949 (2522) G_mAn
»

Prepoznavanje obraza na Galaxyju S10 za odklep ni varno (strani: 1 2 )

Oddelek: Novice / Varnost
7018539 (15585) louser
»

Samsung Galaxy S5 neodporen na star trik odlitka prstnih odtisov

Oddelek: Novice / Varnost
107738 (4774) MuadDib
»

Zlomljena "zaščita" iPhona 5S na podlagi prstnih odtisov

Oddelek: Novice / Varnost
2313606 (11658) Keyser Soze
»

Nemški varuh zasebnosti proti čitalcu prstnih odtisov v iPhonu (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10452549 (47045) AndrejO

Več podobnih tem