קבוצת האקרים בגרמניה טוענת שהביסה את מערכת האבטחה הביומטרית החדשה Touch ID של אפל על ידי שימוש בטכניקת הרמת טביעת אצבע שונה וטכניקת יצירת "אצבע מזויפת".
בפוסט שפרסם באתר האינטרנט שלו ביום ראשון, טען מועדון המחשבים של Chaos כי עקף את חומרת חיישן ה-Touch ID של ה-iPhone 5s, יומיים בלבד לאחר שהסמארטפון שוחרר ביום שישי.
לְפִיהדרכה מפורטתמתוך המעקף שסופק על ידי צוות הפריצה הביומטרי של הקבוצה, חומרת ה-Touch ID של ה-iPhone 5s היא, למעשה, רק גרסה ברזולוציה גבוהה יותר של חיישנים קיימים. המשמעות היא שניתן להביס את המערכת באמצעות טכניקות נפוצות להרמת טביעות אצבע, אם כי ברמה מעודנת יותר.
"במציאות, לחיישן של אפל יש רק רזולוציה גבוהה יותר בהשוואה לחיישנים עד כה. אז היינו צריכים רק להגביר את הרזולוציה של הזיוף שלנו", אמר האקר של CCC שזכה לכינוי Starbug. "כפי שאמרנו עכשיו כבר יותר משנים, אסור להשתמש בטביעות אצבעות כדי לאבטח שום דבר. אתה משאיר אותן בכל מקום, וזה הרבה יותר מדי קל ליצור אצבעות מזויפות מטביעות מורמות".
למרות שהתהליך מורכב במקצת, החשיבה מאחוריו פשוטה. במקרה זה, תמונה ברזולוציה גבוהה של 2400 dpi של טביעת אצבע של משתמש נקצרה ממשטח זכוכית באמצעות אבק גרפיט או ציאנואקרילט (המרכיב העיקרי ב-Super Glue) ומצלמה. התמונה שהתקבלה נוקה והופכה עם תוכנת עריכת תמונות, ולאחר מכן הודפסה בלייזר ב-1200 dpi על גבי גיליון שקוף.
כדי ליצור את טביעת האצבע המזויפת, מניחים על התדפיס דבק לטקס ורוד או דבק עץ לבן ומאפשרים לו להתקבע. לאחר ריפוי, ניתן לקלף את הדמה מהשקיפות, לנשום אותה כדי לייצר שכבה דקה של לחות ולמרוח על האצבע. זה יעניק גישה למכשיר מוגן Touch ID, טוען CCC.
סרטון של תהליך ביטול הנעילה הועלה ליוטיוב:
"אנחנו מקווים שזה סוף סוף ישים את האשליות שיש לאנשים לגבי ביומטריה של טביעות אצבע. זה פשוט טיפשי להשתמש במשהו שאתה לא יכול לשנות ושאתה עוזב בכל מקום כל יום כאסימון אבטחה", אמר דובר CCC פרנק ריגר. "הציבור כבר לא צריך להיות שולל על ידי תעשיית הביומטריה עם טענות אבטחה שקריות. ביומטריה היא ביסודה טכנולוגיה המיועדת לדיכוי ושליטה, לא לאבטחת גישה למכשירים יומיומיים".
יש לציין שאפל מעולם לא טענה ש-Touch ID היא טכנולוגיה חדשה, וגם החברה לא אמרה שהשיטה חסינת תקלות. כפי שנראה לעיל, ישנם סייגים רבים בייצור "אצבע מזויפת", מאיכות טביעת אצבע סמויה ועד דיגיטציה והדפסה. בנוסף, גנב לעתיד יזדקק לגישה לאייפון עצמו לאחר הפקת הזיוף.
לא נלקחת בחשבון גם אפליקציית Find My iPhone של אפל, המאפשרת למחוק טלפון שאבד או נגנב מרחוק. זה משאיר את החלון לפריצה ל-5s קטן מאוד, וככל הנראה יסכל את כולם מלבד הפושעים המסורים ביותר.
ה-Touch ID של אפל הוא הניסיון הראשון של החברה לכלול שיטת אבטחה ביומטרית במוצרי הצריכה שלה. הטכנולוגיה מגיעה מ-AuthenTec, חברת ביומטריה המתמחה בחומרת טביעות אצבע, שאפל רכשה ב-2012 עבור356 מיליון דולר.
המידה שבה אפל מתכננת לשלב טכנולוגיה ביומטרית אינה ברורה, אם כי כפי שהיא עומדת, Touch ID משמש לפתיחת הנעילה של האייפון 5s ולבצע רכישות ב-iTunes. לצדדים שלישיים אין גישה לממשק ה-API של החיישן, אבל זה עשוי להשתנות אם הטכנולוגיה תהפוך לחלק גדול יותר מהמערכת האקולוגית של iOS.
