Skradzionym odciskiem palca można odblokować iPhone'a 5S, Touch ID przyjrzą się regulatorzy

Touch ID, czyli możliwość odblokowania nowego iPhone'a 5S odciskiem palca, okazał się nie tak doskonały, jak zakładali twórcy. W ciągu minionych kilku dni w Sieci pojawiły się filmy prezentujące wykorzystanie do odblokowania urządzenia stopy, co jeszcze nie jest szczególnie dziwne, sutki oraz kocie łapki.

Niemiecka grupa Chaos Computer Club sprawdziła oczywiście działanie sprawdzonej metody obchodzenia autoryzacji tego typu, czyli odlew odcisku palca. Na stronie grupy w sobotę, dzień po pojawieniu się iPhone'ów w sklepach, znalazł się szczegółowy opis procedury oraz film demonstrujący atak. CCC skomentowali sytuację dość dobitnie: Mamy nadzieję, że to w końcu obali mity dotyczące autoryzacji biometrycznej, bazującej na odciskach palców, w które ludzie wciąż wierzą. Używanie czegoś, czego nie możesz zmienić i co codziennie zostawiasz praktycznie wszędzie jako zabezpieczenia, jest czystą głupotą.

Sensor zamontowany w najnowszym smartfonie Apple'a jest niestety lepszy od innych urządzeń tego typu głównie w kwestii rozdzielczości. Oszukać go więc można tak samo łatwo, jak inne — trzeba tylko dysponować odpowiednio dokładniejszą, sztuczną opuszką. Okazuje się, że to nie jest problem dla niemieckich hakerów od lat specjalizujących się w podkradaniu odcisków palców. Do obejścia zabezpieczeń iPhone'a wystarczyły materiały dostępne dla każdego. Podstawą jest fotografia o rozdzielczości 2400 dpi odcisku palca, uwidocznionego na szklance za pomocą grafitowego pyłu. Zdjęcie zostało oczyszczone komputerowo i wydrukowane na przezroczystej folii na drukarce laserowej, w rozdzielczości 1200 dpi. Potem wystarczy zrobić odlew z farby lateksowej lub kleju do drewna, przymocować go do palca, nawilżyć… i gotowe. Jeśli złodzieje przygotują taki odlew wcześniej, mają sporą szansę zdążyć odblokować skradzionego iPhone'a jeszcze zanim właściciel wymaże zapisane na nim dane za pomocą Find my iPhone.

Tego właśnie obawia się senator Al Franken, pracujący dla Podkomisji ds. Prywatności. W liście do Tima Cooka napisał, że jeśli hakerzy zdobędą czyjś odcisk palca, będą mogli podszywać się pod właściciela iPhone'a praktycznie do końca jego życia. Nie wiadomo jeszcze jak wygląda dialog między producentem iPhone'a i regulatorami, ani na ile Apple zadbał o zgodność procedury z obowiązującymi wytycznymi prawnymi.

Apple nie twierdzi, że to zabezpieczenie jest nie do złamania i na razie nie daje do niego dostępu innym aplikacjom, niż własne (można wykorzystać odcisk palca przy robieniu zakupów w iTunes). Wzór linii papilarnych jest szyfrowany i zapisywany w wydzielonym i zabezpieczonym sektorze układu A7, nie trafi więc nigdy na serwery Apple'a. Producent twierdzi także, że nie każdy, kto ma dostęp do odcisku palca (na przykład z policyjnej bazy), będzie mógł wykorzystać go do odblokowania urządzenia. Możliwe też, że taka autoryzacja będzie szerzej wykorzystywana. Tim Cook w wywiadzie dla Bloomberga wspomniał, że zakupy na dotyk są częścią większego planu.