日曜日、ベルリンに本拠を置くカオス・コンピューター・クラブは、スターバグという愛称を持つメンバーの一人が、ハッキングに成功した新しいアップルタッチID指紋スキャナー。
非公式の指紋スキャナ ハッキング コンテスト、TouchIDはまだハッキングされています、発売されました先週に先立ってiPhone5S発売日。コンテストの主催者は Starbug のハッキングを検証し、彼を勝者と宣言した月曜日に。スターバグの正体は未だに不明。
関連項目:
今回、スターバグがどのようにしてそれを成功させたかを示すビデオ証拠がついに入手できました。
以下に埋め込まれているビデオでは、フォイル加工の段階的なプロセスを示しています。りんごの新しい認証システム。
ビデオの手順では、いくつかの手順と、グラファイト コーティングやトレーシング ペーパーなど、平均的な泥棒には利用できない可能性のある道具が必要です。
しかしスターバグ氏は、宣伝されているTouch IDのセキュリティには感銘を受けず、ハッキングのプロセスは非常に簡単だと感じたと同氏は言う。
「1~2週間ハッキングできると思っていたのでとてもがっかりしました」と彼は語った。アルス テクニカ。 「何の困難もありませんでした。攻撃は非常に単純で簡単なものでした。」
「とても簡単です」と彼は付け加えた。 「基本的には、イメージ スキャナー、レーザー プリンター、PCB (プリント回路基板) をエッチングするためのキットなどの安価なオフィス機器を使用して、自宅でそれを行うことができます。しかも、必要な時間はわずか数時間です。この技術には実際には数年かかります」古いものですが、インターネットで簡単に入手できます。」
プロセスの最初のステップである指紋の除去は、信じられないほど簡単に思えます。
Starbug 氏は、自分の iPhone 5S をスキャンして、ディスプレイに残った指紋をコンピューターの画像ファイルに変換しました。次に、ファイルを白黒反転してミラーリングし、トラッキングペーパーに印刷しました。その後、PCB 内の指紋を露出させ、現像してエッチングします。最後に、ハッカーはそれにグラファイトコーティングを施した後、木工用ボンドでダミーのプリントを作成しました。
ダミーのプリントを任意の指に貼り付けて、電話のロックを解除するために使用できます。
このハッキングはすでに他の人によって再現されています。 Lookout のセキュリティ専門家である Marc Rogers 氏は、自らそれを試し、その方法と調査結果をレポートで報告しました。ブログ投稿。しかし、ロジャースにとって、攻撃を再現するのはそれほど簡単ではありませんでした。
同氏は投稿の中で、「Touch IDのハッキングは、スキル、既存の学術研究、犯罪現場技術者の忍耐力の組み合わせに依存している」と書いている。
Security Research Labs の別のハッカー グループは、Starbug の手法に従ってハッキングを再現しました。この場合、グループはスキャナーを使わずに指紋を採取することができました。それはただ使用しただけですiPhone4Sカメラ、ここで見ることができるように。
同グループは、Starbug と同じ結論に達しました。つまり、指紋はユーザーを認証する安全な方法ではありません。
「ユーザーは自分の指紋のコピーを、自分が保護しているデバイスなどあらゆる場所に残します。」グループはブログ投稿に書いた。 「これらの蔓延するコピーからなりすまし(「偽の指」)が作成される可能性がある限り、指紋は安全なローカル ユーザー認証には適していません。」
Apple の Touch ID 指紋セキュリティをパスコードを使用するよりも信頼しますか?以下のコメント欄でご意見を共有してください。