אצבע בעין של אפל: האקרים פרצו את הכפתור הביומטרי של האייפון 5S
קבוצת האקרים מגרמניה טענה שצליחה להטעות את הכפתור בעזרת שילוב בין תמונת טביעת האצבע, מדפסת משרדית ויריעת לייטקס. בשיטה זו ניתן לגנוב טביעת אצבע בקלות, ויתכן שגם להטעות את סורקי המאגר הביומטרי הישראלי
- אייפון 5S: שם את האצבע במקום הנכון
- השקת האייפונים: למעלה מ-1,400 איש עמדו בתור מול חנות הדגל של אפל בניו יורק
- iOS7 מגיעה לאייפונים ולאייפדים שלכם
לטענתם, הם הצליחו להונות את הסורק של אפל תוך שימוש בכמה אמצעים שקל מאוד להשיג. “ראשית, טביעת האצבע המבוקשת מצולמת ברזולוציית 2,400dpi”, הם כותבים בבלוג שלהם. “את התמונה שמתקבלת מנקים, הופכים כמו במראה, ומדפסים עם מדפסת לייזר ברזולוציית 1,200dpi על משטח שקוף. לבסוף, מורחים על הדפוס שיצר דיו המדפסת חלב לייטקס ורוד. אחרי שהוא מתקשה, יש להרים את שכבת הלייטקס הדקה מהמשטח, לנשוף עליה כדי ליצור לחות ולהניח על החיישן לפתיחת האייפון".
בסרטון שהפיצה הקבוצה מודגם התהליך אם כי בצורה חלקית בלבד: נראים בו הליך הזנת טביעת האצבע לסמארטפון ולאחר מכן שימוש במה שנטען כי הוא טביעת האצבע המזויפת שהוכנה מראש לפתיחת המכשיר. הליך הצילום של טביעת האצבע ויצירת הטביעה המזויפת לא הודגמו בווידאו.
הפרצה שהדגימה הקבוצה אינה ייחודית לסורק של אפל והודגמה בעבר על סורקי טביעת אצבע אחרים שקיימים בשוק. “למעשה, הסורק של אפל הוא רק בעל רזולוציה גבוהה יותר בהשוואה לסורקים אחרים", מסבירים הפורצים. “אז כל שהיינו צריכים לעשות הוא להגביר את הרזולוציה של הזיוף שלנו. כפי שאנו אומרים זה זמן רב, טביעות אצבע לא צריכות לשמש כאבטחה לשום דבר. אנחנו משאירים אותן בכל מקום וקל מאוד לזייף טביעות אצבע".
החיסרון של התהליך שהודגם הינו הצורך בגישה לטביעת האצבע האמיתית. ואולם, את זו לא קשה יותר מדי להשיג ובמקרים מסוימים ייתכן שכל מה שידרש לתוקף יהיה מסך האייפון עצמו, שמכוסה כדרך קבע בטביעות אצבע.
סכנה לכלי אבטחה ביומטריים - ולמשתמשי המאגר בישראל
העניין הרב באייפון החדש והפריצה שהתגלתה עתידים ליצור עיסוק רב בבעיות האבטחה הביומטרית של המכשיר. אבל יש לקוות שעיסוק זה, לפחות בישראל, לא יתמצא רק באייפון עצמו.
בימים אלו נערך בישראל פיילוט להקמת מאגר ביומטרי, שצפוי לאכסן טביעות אצבע וצילומי פנים של כלל אזרחי ישראל. התומכים בהקמת המאגר מקדמים פעם אחר פעם את הביטחון שהוא מעניק בכל הנוגע לאימות זהויות ומניעת זיופי תעודות. ואולם, כפי שהודגם במקרה זה, לא מן הנמנע שגם את סורקי טביעות האצבע של המאגר ניתן יהיה לרמות בשיטות דומות. ואף שהאייפון מכיל אמנם לא מעט מידע אישי רגיש, הסיכון שבפריצתו אינו משתווה לזה שבזיוף טביעת אצבע של אזרח בהזדהות מול המדינה בהליכים שונים.
הפריצות שנחשפו באייפון 5S יכולות לעורר דיון נרחב בחולשה המובנית של סורקי טביעות אצבע בהם נעשה שימוש על ידי גופים שונים, ואסור שדיון זה יישאר רק ביכולת של גורם זר לעקוף את ההגנות של הגאדג'ט החדש שלנו.