Quanto è sicuro usare un’impronta digitale come metodo di autenticazione per un sistema informatico? Non molto, purtroppo per gli utenti del nuovo iPhone 5S. Un gruppo di hacker tedeschi raccolti dietro la sigla Chaos Computer Club, ha infatti annunciato di essere riuscito a bypassare il touch ID di Apple ingannando il sensore d’impronte incluso nel nuovo iPhone top di gamma uscito pochi giorni fa nei primi mercati selezionati.
La tecnica attraverso la quale gli hacker sono riusciti a “bucare” il sistema di autenticazione del 5S – come riporta Paolo Attivissimo sul suo blog – è relativamente semplice. Sostanzialmente, bastano questi tre passaggi:
- Si fotografa l’impronta digitale della vittima da qualsiasi superficie che consenta di farlo in maniera agevole (es. un bicchiere).
- Si crea una copia dell’impronta usando metodi e materiali comunemente disponibili, anche in Rete (come dimostra questo sito).
- Si appoggia l’impronta clonata al sensore dell’iPhone, che si sbloccherà in pochi istanti.
Ecco anche un video che dimostra lo sblocco del nuovo iPhone usando un’impronta clonata sul touch ID.
Come detto, si tratta di una procedura relativamente semplice. Forse non facilmente replicabile da chi non ha la benché minima dimestichezza con questo tipo di cose, ma decisamente meno complessa del craccare un PIN: non bisogna smanettare con il telefono per parecchio tempo, non bisogna usare software particolari sul PC, ecc. Basta fotografare bene l’impronta e riprodurla come segnalato nel link sopra.
Detto questo, si attende una risposta ufficiale di Apple, che per il momento non ha ancora commentato l’annuncio fatto dal Chaos Computer Club.
[Chaos Computer Club] [Photo Credits | randychiu]
#1Andrea Fini
A parte il fatto che la procedura di crack è MOLTO complessa, ben più complessa di un pin di 4 numeri (Provate a chiedere allo stesso gruppo di hacker di craccarvi uno smartphone tradizionale..così vedete quanti SECONDI ci mettono); con il touch id l’hacker ha bisogno di essere in possesso fisico del nostro device, deve ottenere una foto ad alta risoluzione del nostro dito, deve riprodurre una nostra impronta-fake in latex, e deve fare tutto prima che il possessore (accortosi del furto) disattivi il device..! sinceramente non mi pare si sia dimostrato alcunché con questo hacking
#2alienpitti
@Andrea Fini: L’acquisizione e la replica dell’impronta di solito si fa PRIMA di rubare un qualsiasi dispositivo che richiede controlli biometrici.
Il senso di questa falla sta anche nel dimostrare tutte le leggende su differenze di potenziale criptate generate dalle creste delle impronte digitali e che quindi richiedono un dito vivo, ecc… Basta una finta impronta in latex e via, come per sbloccare il riconoscimento facciale del Samsung!
Anche per craccare il pin ci vuole fisicamente il cellulare, e un’attrezzatura che non si limita al cavo lightning e ad un fantomatico “programma che cracca le password”.
#3Gianluca
Il pin di 4numeri riguarda la SIM del telefono, e non il telefono stesso che puó avere anche pin di piú cifre, tra l’altro anche per crackare un Pin bisogna avere fisicamente il telefono. L’impronta puó invece essere copiata dal touchscreen stesso e “appoggiata” sul lettore impronte. Molto piu semplice che azzeccare una password normalmente complessa.
#4Cia91
Questa procedura mi pare un po complicata e laboriosa, si fa decisamente prima a tagliare il dito.
#5Geeko
@Cia91: l’impronta del dito si trova anche facilmente sullo schermo.
#6BlogProvvisorio
non funzionerebbe, il Touch ID è capacitivo il tessuto non deve essere morto@Cia91:
#7frask3002
Ma questo era emozionato o ha il morbo di parkinson?