ביום ראשון הודיע מועדון המחשבים Chaos, שבסיסו בברלין, כי אחד מחבריו, המכונה Starbug,נפרץ בהצלחהאפל החדשהTouch IDסורק טביעות אצבע.
תחרות פריצה לא רשמית של סורק טביעות אצבע,IsTouchIDHackedYet, הושקבשבוע שעברלפני האייפון 5Sתאריך המכירה. מארגני התחרות אימתו את הפריצה של Starbug והכריז עליו כמנצחביום שני. זהותו האמיתית של סטארבאג עדיין לא ידועה.
עכשיו, סוף סוף יש לנו עדויות וידאו לאופן שבו Starbug הצליח.
הסרטון, המוטמע למטה, מציג את תהליך הסיפוי שלב אחר שלבתַפּוּחַמערכת האימות החדשה של.
ההליך בסרטון דורש מספר שלבים וציוד שאולי לא יהיו זמינים לגנב הממוצע, כגון ציפוי גרפיט ונייר איתור.
אבל Starbug לא התרשם מהאבטחה המפורסמת של Touch ID, הוא אומר, ומצא את תהליך הפריצה פשוט למדי.
"התאכזבתי מאוד, כי קיוויתי לפרוץ לזה במשך שבוע או שבועיים", אמרArs Technica. "לא היה אתגר כלל; המתקפה הייתה מאוד פשוטה וטריוויאלית".
"זה מאוד קל", הוסיף. "בעצם אתה יכול לעשות את זה בבית עם ציוד משרדי זול כמו סורק תמונות, מדפסת לייזר וערכה לחריטת מעגלים מודפסים. וזה ייקח לך רק כמה שעות. הטכניקות הן למעשה כמה שנים ישנים וזמינים בקלות באינטרנט."
השלב הראשון בתהליך - הרמת טביעת האצבע - נראה קל להפליא.
Starbug הפך טביעת אצבע שנותרה על הצג לקובץ תמונת מחשב על ידי סריקת האייפון 5S שלו. לאחר מכן הוא הפך ושיקף את הקובץ בשחור-לבן, והדפיס אותו על נייר מעקב. לאחר מכן, חשף את טביעת האצבע ב-PCB, ואז פיתח וחרט אותה. לבסוף, לאחר מריחת ציפוי גרפיט עליו, ההאקר עשה הדפס דמה מדבק עץ.
לאחר מכן ניתן לשים את הדפס הדמה על כל אצבע ולהשתמש בו כדי לפתוח את הטלפון.
הפריצה כבר שוחזרה על ידי אחרים. מומחה האבטחה של Lookout, מארק רוג'רס, ניסה זאת בעצמו ודיווח על השיטה והממצאים שלו ב-aפוסט בבלוג. עם זאת, עבור רוג'רס, שחזור ההתקפה לא היה קל.
"Hacking Touch ID מסתמך על שילוב של מיומנויות, מחקר אקדמי קיים וסבלנות של טכנאי זירת פשע", כתב בפוסט.
קבוצה נוספת של האקרים ב-Security Research Labs שיכפלה את הפריצה בעקבות הטכניקה של Starbug. במקרה זה, הקבוצה הצליחה להרים טביעת אצבע ללא סורק; זה פשוט השתמש ב-anאייפון 4Sמַצלֵמָה,כפי שתוכלו לצפות כאן.
הקבוצה הגיעה לאותה מסקנה כמו Starbug: טביעות אצבע אינן דרך בטוחה לאימות משתמש.
"משתמשים משאירים עותקים של טביעות האצבע שלהם בכל מקום, כולל במכשירים שהם מגנים עליהם",הקבוצה כתבה בפוסט בבלוג. "טביעות אצבע אינן מתאימות לאימות משתמש מקומי מאובטח כל עוד ניתן להפיק זיופים ('אצבעות מזויפות') מהעותקים הנפוצים הללו."
האם אתה סומך על אבטחת טביעות האצבע של Touch ID של Apple יותר מאשר שימוש בקוד גישה? שתף את המחשבות שלך בתגובות למטה.
