Video: The iPhone 5s Touch ID hack in detail (September 2024)
Det tog inte lång tid. Apples iPhone 5S kom ut förra veckan, med en ny Touch ID-fingeravtryckssensor inbyggd i Home-knappen. Strax därefter tweetade Nick DePetrillo (@NickDe) denna utmaning: "Jag kommer att betala den första personen som lyckas lyfta ett tryck från iPhone 5s-skärmen, återger det och låser upp telefonen på <5 försöker $ 100." Hans istouchidhackedyet.com/ webbplats uppmanade andra att publicera sina egna erbjudanden. Nu, mindre än en vecka senare, har den kollektiva belöningen av dollar, bitcoins och sprit hävdats.
Och vinnaren är...
I ett blogginlägg daterat förra lördagen meddelade Tysklands värdefulla Chaos Computer Club att deras biometriska hacking-team framgångsrikt hade låst upp en iPhone 5s med ett falskt fingeravtryck. "Ett fingeravtryck från telefonanvändaren, fotograferad från en glasyta, var tillräckligt för att skapa ett falskt finger som kunde låsa upp en iPhone 5s som är säkrad med Touch ID", säger posten. "Detta visar - återigen - att biometri med fingeravtryck är olämpligt som åtkomstkontrollmetod och bör undvikas."
DePetrillo meddelade mycket specifika kriterier för att göra anspråk på priset: "Allt jag ber om är en video av processen från tryck, lyft, reproduktion och framgångsrik upplåsning med reproducerat tryck." Medan CCC-videodemonstrationen inte matchade exakt dessa villkor, accepterade DePetrillo den som bevis.
Tallying the Booty
Vinnaren av bytet, som går under namnet Starbug, planerar att ge det till en CCC-spinoff som heter Raumfahrtagentur. Jag beräknade precis vad Starbug skulle få om varje deltagare faktiskt kom igenom den utlovade betalningen. Det kontanta beloppet skulle vara 8 364, 01 $, 100 euro, och bitcoinekvivalenten till ytterligare 2 779 $. Andra slumpmässiga erbjudanden inkluderar sju flaskor vin och sprit, en gratis patentansökan för tekniken och en "smutsig sexbok."
Ett erbjudande på $ 10.000 dök upp kort men togs ner kort innan hacknyheterna bröt. En handfull av dem som erbjuder pengar lägger faktiskt pengarna i spärr; dessa belopp garanteras att betalas. Åtminstone kommer Starbug att få $ 900 och 0 661 bitcoins. Vill du delta i crowdfunded-belöningen? Du kan fortfarande göra det genom att tweeta ditt erbjudande (minst $ 50 eller 0, 4 bitcoin) till @IsTouchIdHacked.
Bekräftad av Lookout
Mark Rogers, en forskare på San Francisco-baserade Lookout Security, lyckades också hacka Touch ID och publicerade fullständiga detaljer igår. Trots att han lyckades hacka det, tycker Rogers fortfarande Touch ID är "fantastisk."
Rogers påpekar att det inte är lätt att hacka Touch ID. Det "förlitar sig på en kombination av färdigheter, existerande akademisk forskning och tålamodet för en brottsplatstekniker" för att producera ett falskt fingeravtryck. Även om du har de nödvändiga färdigheterna är det ingen enkel sak. "Det är en lång process som tar flera timmar och använder utrustning på över tusen dollar inklusive en högupplöst kamera och laserskrivare." Hans teknik skapade trycket på ett kopparklädda kort, medan CCC använde en transparens. För att faktiskt låsa upp en telefon måste han fästa det falska fingeravtrycket på ett fuktigt finger.
Bekväm säkerhet
Varför är Touch ID fortfarande fantastiskt? Rogers påpekar att för närvarande hälften av alla iPhone-användare inte ens använder en enkel PIN-kod, eftersom det inte är bekvämt. Touch ID, å andra sidan, är symbolen för bekvämlighet. Att trycka på Hem-knappen är något du redan gör; lägga till fingeravtrycksautentisering i processen kräver inga extra åtgärder.
Vad Rogers verkligen skulle vilja se är tvåfaktorsautentisering - Touch ID plus ett lösenord, till exempel. Han föreställer sig ett system där du, till exempel, loggar in i din bank med ett fingeravtryck, men ange ett lösenord för att faktiskt göra en transaktion. Jag måste hålla med. Fingeravtrycksautentisering är felaktig, fyrsiffrig PIN-autentisering är felaktig, men de två tillsammans ger bättre säkerhet.
Tidiga beskrivningar av Touch ID fick det att låta som tekniken bara skulle fungera med en riktig, levande finger eller tumme. Det faktum att ett upplyft tryck kan lura det får mig att undra om vi talade för tidigt när vi sa att en avskuren tumme inte skulle fungera. Men jag är inte säker på att jag vill höra några detaljer om forskning riktad i den riktningen.
