Chaos Computer Club breaks Apple Touch ID

ccc.de:

The biometrics hacking team of the Chaos Computer Club (CCC) has successfully bypassed the biometric security of Apple’s TouchID using easy everyday means. (…)

In reality, Apple’s sensor has just a higher resolution compared to the sensors so far. (…)

First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.

A fentieket röviden összefoglalva: viszonylag egyszerű hagyományos módszerekkel átverni az Apple Touch ID-jét, ami ugyanolyan, mint bármelyik másik ujjlenyomat olvasó, csak éppen jobb minőségű a szkennere. Egy ujjlenyomatot szerezve, beszkennelve, kiretusálva és kinyomtatva gyakorlatilag átverhető a gép. Ebben a videóban a fenti, remegő kezű hacker demonstrálja is a dolgot. A technika egyébként a fentiek szerint egy létező és régóta használt dolog az ujjlenyomat olvasó piacon.

Mivel a Touch ID iTunes vásárlásokra is használható, egy fokkal problémásabbnak érzem a fentieket, mintha csak arról lenne szó, hogy a négyjegyű passcode-ot lehet vele átverni. Ugyanakkor abba is érdemes belegondolni, hogy viszonylag körülményes jó eredetit szerezni, titkosszolgálati eszközökkel kell rámenni a dologra, nem hiszem, hogy a hétköznapi tolvajok esetében különösebb behatolástól kellene tartanunk.

Ettől függetlenül jó tudni, hogy nem képes csodákra, de ezt már az előző posztból is sejteni lehetett.