Интервью: Взлом Touch ID iPhone 5s

starbug

Через 48 часов после дебюта iPhone 5S стало известно, что защиту Touch ID обошли немецкие хакеры из группы Chaos Computers Club.

Touch ID — сканер отпечатков пальцев, интегрированный в кнопку «Домой» смартфона iPhone 5S. Служит для идентификации владельца телефона.

Технология взлома представлена на видео http://www.youtube.com/watch?v=kaRFN3UWups

Предлагаем вашему вниманию интервью с Starbug — хакером из группы Chaos Computers Club.

— Вы что-то хотели доказать, когда обходили защиту Touch ID? Если да, то что, вы хотели доказать этим?
— На протяжении последних 10 лет, я показываю, что не существует никаких систем контроля отпечатков пальцев, которые невозможно обойти. Но в основном я сделал это ради удовольствия. Иными словами, потому что я мог это сделать.

— Ранее вы критически относились к использованию системы контроля отпечатков пальцев и других биометрических средств защиты. Вы все еще так считаете? Почему вы так критически настроены по отношению к Apple? Touch ID — это не принудиловка, а всего лишь заменитель четырехзначного ПИН-кода.
— Я не критикую Apple. Единственное, за что их можно критиковать, так это за то, что они рекламируют Touch ID, как безопасную функцию, хотя в Apple знали, что Touch ID будет взломана рано или поздно. В целом, я считаю, что использование биометрических средств защиты для автоматического распознавания людей является проблематичным, особенно тогда, когда распознавание лица осуществляется без помощи человека.

— Сколько времени у вас заняло обойти защиту Touch ID? Возникла ли у вас сложность с этим? Было ли что-нибудь в Touch ID, по вашему мнению, хорошо спроектировано или хорошо реализовано?
— Мне потребовалось почти 30 часов от распаковки iPhone до обхода защиты. С лучшей подготовкой это заняло бы около получаса. Я потратил очень много времени на выяснение информации о технических характеристиках датчика. Фактически я обошел его.

Я был очень разочарован, так как надеялся, что на хак уйдет неделя или две. Никаких сложностей не было вообще; атака была очень простой и тривиальной. Touch ID, тем не менее, очень надежная система контроля отпечатков пальцев. Однако, пользователи должны рассматривать ее с точки зрения удобства, а не безопасности.

— Насколько осуществимым является хак, который вы предприняли? Его может сделать любой, или он доступен только талантливым хакерам, обладающим изрядной долей мастерства и дорогим оборудованием?
— Хак очень прост. В принципе, его можно сделать дома, имея недорогую оргтехнику: сканер, лазерный принтер, а также комплект для травления печатных плат. Потребуется всего лишь несколько часов. На самом деле этому методу уже несколько лет, и его описание можно легко найти в Интернете.

— Многие говорили о том, что датчик Touch ID сканирует пальцы на субэпидермальном уровне и это должно было бы предотвратить от создания отпечатков пальцев на пленке, которое вы сделали. Это, верно или нет? Если да, то почему? Почему ваш метод сработал?
— На самом деле я не смог найти достаточно подробную информацию о том, как работает датчик. Я предположил, что они используют субэпидермальное сканирование. Тем не менее, скан отпечатка пальца на полученном материале очень похож по структуре с верхними слоями кожи. Наиболее вероятная проблема заключается в произвольном порог, который выбрали в Apple. Они должны были обеспечить, надежные настройки, т.е, чтобы не нужно было сканировать палец пользователя дважды, потому что датчик отклонял первую попытку. Проще говоря, они предпочли практичность и удобство безопасности. Таким образом, датчик отпечатков пальцев всегда можно обойти, пока материалы, используемые для поддельных отпечатков пальцев достаточно близки к характеристикам кожи человека, и пока доступно сканирование с высоким разрешением.

Важно также иметь в виду то, что личные устройства, такие как iPhone покрыты отпечатками пальцев, которые могут быть использованы для создания поддельных отпечатков. Очки также попадают в эту же категорию. Проблема с отпечатками пальцев заключается в том, что вы оставляете их повсюду. Это похоже на то, что где бы вы ни были вы оставляете пароль, написанный на стикере.

— Похоже, что в целом, аутентификация в становится все более и более уязвимой. Мы видим, что пароли и ПИН-коды становятся все более слабыми. Многие люди не доверяют технологии SecurID, разработанной компанией RSA. Существует ли по вашему мнению способ проверки аутентификации, который лучше, чем пароли, физические маркеры и биометрические средства защиты? Что он собой представляет? Что должно произойти для того, чтобы этот способ стали использовать пользователи для разблокировки своих iPhone, и входа в аккаунт Gmail и других онлайн-сервисов?
— Пароли не являются проблемой, вообще, пока они достаточно длинные. На самом деле, длинные и сложные пароли, которые могут быть сконфигурированы на iOS устройствах, предлагают достаточный уровень безопасности. Проблема заключается в том, чтобы найти правильный баланс между удобством для пользователя и безопасностью. Ни один нормальный человек не хочет вводить 20-символьный пароль каждый раз, когда хочет сделать что-то на своем телефоне. С другой стороны, сегодня, современные смартфоны содержат огромное количество личных данных, и многие считают, что даже четырехзначного ПИН-кода недостаточно.

Источник: www.arstechnica.com, 24 сентября 2013


Перевод выполнен abv24.com




Опубликовано 29.09.2013 в 6:20 пп · Автор abv24 · Ссылка
Рубрики: Технологии · Теги: ,

@Mail.ru