Lako je stvoriti otisak prsta iz fotografija nečijeg prsta na pametnom telefonu
- Kategorija: Jabuka
Doduše, Touch ID je popularizirao i uveo biometrijsku sigurnost na mobilnim uređajima pomoću otiska na površini unutarnjeg dijela gornjeg zgloba prsta.
Nakon što je debitirao na iPhoneu 5s, Appleov interni senzor ugrađen u tipku Home temelji se na sofisticiranoj tehnologiji izraelskog proizvođača pametnih senzora AuthenTec, koju je tvrtka iz Cupertina kupila u srpnju 2012. za prijavljenih 356 milijuna dolara.
Međutim, postojeća sigurnosna rješenja temeljena na otisku prsta mogla bi se lako zaobići generiranjem slike otiska prsta iz niza fotografija nečijeg prsta, bez ikakvog fizičkog otiska, prema tvrdnjama Chaos Computer Cluba, najveće europske udruge hakera.
Kao prenijeti VentureBeat, hakeri su sada uspješno demonstrirali dokaz koncepta kopiranjem otiska palca njemačke ministrice obrane Ursule von der Leyen.
Koristili su krupnu fotografiju palca von der Leyen, dobivenu tijekom konferencije za novinare u listopadu, zajedno s fotografijama snimljenim iz različitih kutova, rekao je Jan Krissler zvani 'Starbug' na 31. godišnjoj konvenciji Chaos Computer Cluba u Hamburgu, Njemačka.
Prema hakeru, upotrijebili su komercijalno dostupan softver pod nazivom VeriFinger za generiranje radnog otiska prsta iz fotografija (njegov cijeli govor na njemačkom dostupan je na YouTube ).
Slična se metoda može koristiti za prevaru drugih sigurnosnih metoda poput prepoznavanja lica, tvrdio je pokazujući konceptualne slabosti biometrijske autentifikacije.
Chaos Computer Club može zvučati poznato: prošle godine su uspješno zaobilazan Appleova Touch ID zaštita s tehnikom koja se naziva 'lažni prst'.
Uključuje snimanje fotografije vrlo visoke rezolucije (2400 dpi) otiska prsta osobe i njezino ispisivanje na prozirnu foliju s postavkom debelog tonera prije nego što se napuni ružičastim mlijekom od lateksa kako bi se stvorila replika otiska prsta koja se može postaviti na Touch ID senzor za otključavanje iPhonea.
Za razliku od kopiranja nečijeg otiska prsta s predmeta s ulaštenom površinom, Chaosova najnovija tehnika čak ne zahtijeva fizički otisak prsta i kao takva bi mogla biti zabrinjavajuća za neke.
Otisci prstiju koji se mogu koristiti za biometrijsku autentifikaciju mogu se jednostavno uzeti od osoba na javnim događanjima jednostavnom upotrebom 'standardne foto kamere', rekao je Krissler i izrazio nadu da će 'političari vjerojatno nositi rukavice kada govore u javnosti'.
S druge strane, vrijedi naglasiti da Chaos Computer Club (još) nije dokazao da se replika otiska prsta generirana iz niza fotografija nečijeg prsta zapravo može prisluškivati kako bi se zaobišao Touch ID.
Ne postoji takva stvar kao što je neprobojni biometrijski sigurnosni sustav i Touch ID nije iznimka. Biometrijska sigurnost obično je pojačana drugim slojevima sigurnosti kao što su lozinke ili, u slučaju iPhonea, pin kodovi.
Budući da se sama biometrija ne bi trebala koristiti za provjeru autentičnosti identiteta, Apple zahtijeva da izradite šifru prilikom postavljanja Touch ID-a na svom uređaju. Kao još jedan sigurnosni sloj, morate unijeti svoju zaporku za otključavanje uređaja nakon svakog ponovnog pokretanja i lozinku za Apple ID za ponovnu autorizaciju kupnje u App Storeu putem Touch ID-a.
Iako je Apple poboljšao pouzdanost, performanse i sigurnost Touch ID-a izdavanjem iPhonea 6, iPad Air 2 i iPad mini 3, sustav se još uvijek može zaobići, kao što je prije spomenuto.
To ne znači da biste trebali onemogućiti Touch ID na svom uređaju. Appleovo otkrivanje otiska prsta velika je pogodnost: ne samo da možete otključati uređaj i njime odobriti kupnje u App Storeu, već ga možete koristiti i za zaštitu sadržaja na rastućem popisu kompatibilnih aplikacija trećih strana.
Napadač bi morao posjedovati značajne vještine, imati pristup skupoj opremi i resursima da izvede takav podvig. Srećom, to je izvan domene prosječnog korisnika koji ima ograničen skup vještina i osnovno znanje o biometrijskoj sigurnosti.
Slika na vrhu objave: Gizmodo .