Touch ID omzeilen kan, maar gewone gebruiker heeft weinig te vrezen
De Chaos Computer Club demonstreerde dit weekend hoe je de Touch ID-scanner van de iPhone 5s om de tuin kon leiden. Het was een “eenvoudig proces” dat je kon uitvoeren met “spullen die in elk huishouden aanwezig zijn”. CCC-teamlid Starbug heeft nu een nieuwe video gemaakt, waarin hij uitlegt hoe de procedure werkt. Beveiligingsexpert Marc Rogers heeft alle stappen nagelopen en vindt dat de gemiddelde consument niets te vrezen heeft.
Het is niet zo dat je even snel een vingerscan neemt en die door Touch ID laat inlezen. De procedure vergt nogal wat stappen en je hebt er voor meer dan duizend dollar aan apparatuur (zie foto) voor nodig. Bovendien is Starbug’s bewering dat de benodigde materialen in elk huishouden aanwezig zijn, niet helemaal terecht. Niet iedereen heeft cyanoacrylaat (een soort superlijm), vingerafdrukpoeder en vingerafdruktape liggen, laat staan een 2400 dpi-scanner. Starbug verwachtte dat hij wel twee weken bezig zou zijn om Touch ID te omzeilen, maar was in 30 uur klaar. Die 30 uur is echter een te grote tijdsinvestering om de hack echt interessant te maken.
Zelfs als je alle tijd hebt en alle stappen nauwgezet volgt is succes nog niet gegarandeerd. Volgens Rogers gaat het vaak mis. “Praktisch gezien bevindt een aanval zich een beetje in het rijk van een John le Carré-boek. Het is niet iets wat de gemiddelde straatrover zou kunnen. En zelfs dan moet je nog veel geluk hebben”. Je krijgt immers maar vijf pogingen om de namaakvinger te scannen. Toch geeft ook Rogers toe dat het systeem inderdaad niet helemaal waterdicht is. Als een boef veel tijd en geld ervoor over heeft en behoorlijk gemotiveerd is om data van iemand te ontfutselen, dan lukt het. Je moet dan wel fysiek dichtbij het slachtoffer kunnen komen om de vinger goed te kunnen scannen (bijvoorbeeld terwijl hij slaapt). Bij een gewone gebruiker waar weinig te halen valt, is dat teveel moeite.
Toch roept de hack wel interessante vragen op. Apple vertelde tijdens de presentatie van de Touch ID-sensor dat niet de buitenste huidlaag wordt gescand, maar de iets dieper gelegen huidlagen. Daardoor is het onbegrijpelijk dat je met een laserprinter een bruikbare nep-vingerafdruk kunt maken. Apple krijgt ook kritiek uit andere hoek: de Amerikaanse senator Al Franken heeft een brief naar Tim Cook gestuurd, met daarin een aantal indringende beveiligingsvraagen. Hij wil weten hoe de vingerafdrukken worden opgeslagen en hoe groot de kans is dat deze data onderschept kan worden. Om vragen van consumenten voor te zijn heeft Apple een uitleg over de beveiliging van Touch ID online gezet.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Touch ID
Lees alles over Touch ID, de vingerafdrukscanner van de iPhone, iPad en Mac. Hiermee kun je je toestel ontgrendelen, apps ontgrendelen, Apple Pay gebruiken en andere activiteiten goedkeuren. Op veel iPhones is Touch ID vervangen door Face ID, maar de vingerafdrukscanner is nog steeds belangrijk als een manier om veilig in te loggen. Je vindt de Touch ID-sensor nu nog op de iPhone SE, alle iPads (behalve de iPad Pro) en op de Mac, zowel op MacBooks als op desktop-Macs in combinatie met het Magic Keyboard met Touch ID-sensor.

..Goedemorgen Gonny.. Klasse artikel! Thumbs up!!
Apple verzekerde ons dat Touch id NIET te omzeilen zou zijn…….!!!
Beste appleharry: alles is te hacken en iedere beveiliging is te omzeilen, het is alleen een kwestie van motivatie en tijd.
Ik vind dat Apple een schitterende oplossing neergezet heeft voor zijn gebruikers. Ik ben benieuwd wat de reactie van de concurrentie gaat worden. Ik zit te wachten tot de 5s zijn weg naar de Nederlandse winkels vind, dan ga ik er zeker 1 kopen.
Met genoeg tijd kan je ook ale combo’s proberen van een standaard 4 digit passcode…
Vind dit zo slecht nog niet
Dichtbij het slachtoffer komen voor een vingerafdruk…?
Wat dacht hè van de telefoon zelf? Vol vingers…
Precies wat ik al dacht: alles valt te hacken, maar inderdaad of het de moeite waard is?
Much ado about nothing…
Leuk geschreven!
Oh ja! Over dat opslaan van de afdruk…
Zolang Apple zorgt dat de afdruk eigenlijk nooit bij hen komt, wordt opgeslagen, lijkt me het geen probleem. Immers, de afdruk is en blijft in het bezit van de gebruiker: via de iPhone die van de gebruiker is…
Maar ja, iCloud…dat is technisch gezien opslag op een server van Apple…tenzij die afdruk wordt overgeslagen bij het opslaan. Van de andere kant: als alles nu ook mag (een foto waar je ook heel veel mee kan), waarom dan een afdruk?
Lastig. Lastig.
Het is net als met de beveiliging van je huis: maak het de dieven zo lastig mogelijk zodat inbrekers “naar de buren gaan”.
Deze hack uitvoeren op de iPhone kost 30 uur. Daarmee is Apple er dus in geslaagd om het zo lastig te maken dat de inbrekers “naar de buren gaan”. De beveiliging is dus goed genoeg.
Op Tweakers.net word hier ook al flink over gediscusieerd. Sommige spraken er niet al te best over, maar vergeten het punt waarom Apple met TouchID is begonnen. Namelijk een gebruiksvriendelijke vervanger voor de pincode. Aangezien er nog steeds veel gebruikers hun smartphone niet hebben beveiligd of juist met een te simpele pincode, is dit een ideale manier. Snel en simpel. Dat het te hacken is, ja dat is te verwachten aangezien alles valt te hacken. Maar kan je het zo moeilijk mogelijk maken dat het nog de moeite waard is om te hacken… Daar is Apple is mijn ogen wel in geslaagd. Ook zijn sommige bang dat hun vingerafdruk terecht komt bij bijvoorbeeld de NSA. Mag ik zeggen bullshit! als eerste is er nog geen bewijs dat Apple toch tegen eigenzeggen de data opslaan/doorspelen. Daarnaast heeft de NSA of je eigen overheid zeer waarschijnlijk al je vinger afdruk doormiddel van Passport/ ID kaart, of de verplichte vingerafdruk bij VS airport. Ja oke, prima, maar door te hacken van mijn TouchID kunnen ze bij mijn persoonlijke gegevens… En als je dan vraagt of ze gebruik maken van iCloud of Dropbox etc, zeggen ze doodleuk ja. Dan helpt een super beveiliging op je iPhone ook niet meer, aangezien de NSA toch al meekijkt op de servers. En daar hebben ze geen toegang tot je iPhone voor nodig! Dus het is weer een storm in een glas water.
Mooi artikel…
Ik vind dit zeuren, omdat je moet zeuren! Er staat nergens dat je VERPLICHT bent om de touch-id te gebruiken. Wil je het niet gebruiken, dan zet je het toch uit of anders koop je een andere telefoon.
Wat kunnen sommigen toch slecht met veranderingen omgaan. Ik weet nog dat de eerste iPhone een gadget werd genoemd en men het onzin vond en als je nu een eenvoudige Nokia hebt ben je raar. Geloof me, over 2/3 jaar lacht iedereen je uit als je nog een “simpele pincode” gebruikt.
Mensen, stop met klagen en help mee om de techniek te verbeteren. Geef positieve feedback, daar kunnen we wat mee!
De vingerafdruk wordt zelfs niet op de telefoon opgeslagen,
enkel een mathematische versleutelde versie, en enkel op de A7 chip zelf …
Een 4 digit pin code is in een publieke plaats gemakkelijk mee te lezen …
Touch ID is vele malen veiliger.
Nog niemand gedacht dat je één van je 10 vingers kan gebruiken, dus ALS je een vingerafdruk VINDT, kan het zelfs nog de verkeerde zijn, je kan bv je pink gebruiken van je linkerhand… Dit maakt het quasi onmogelijk om een gestolen telefoon te kraken!
niet te HACKEN, omzeilen kan je al altijd met vingerafdrukscanners, maar het vergt inderdaad veel apparatuur en tijd
30 uur met de JUISTE vinger ! Die info heb je niet als je het met een ‘vreemde’ telefoon doet
Wat ik me afvraag is. Je hebt 10 vingers (+andere ledematen die je blijkbaar ook kunt gebruiken ) als 1 vingerafdruk namaken je 30 uur kost, en de kans op slagen je minimaal 10 vingers nodig hebt, is het toch bijna onmogelijk?
Vingers op de die op de telefoon staan? Kijk eens goed hier haal je echt geen bruikbare afdruk af, of je moet je telefoon elke 5 minuten helemaal schoonpoetsen.
Het is wel kans van 1 op 10 ja qua vingers maar hoeveel procent zal zijn rechterduim gaan instellen. Ik denk dat die percentage vrij hoog zal liggen.
1. Er zijn volgens mij weinig vingerafdrukscanners die 100% beveiliging kunnen garanderen. De techniek is niet ver genoeg. Met 99 komma nogwat % overeenkomstigheid van de vinger mag je door. Dus per definitie is er een kans dat de verschillende personen worden toegelaten daar waar dat niet juist is. Ook bij de precious iphone. Hoef je niet eens trucen voor uit te halen. De technologie is faalbaar.
2. Als er maar genoeg interessante informatie op een iphone staat kan het wel zeker interessant zijn om de besproken methode te gebruiken. De kosten-baten analyse is zo gemaakt. Dus niet al te gemakkelijk wegwuiven.
Daarbij, volgens mij is hacken via internet van een iphone misschien wel iets handiger? Maar die vraag kan de NSA vast goed beantwoorden als ervaringsdeskundige.
Wel jammer is dat iedere zwakke plek van de iPhone / Apple meteen weer in de mantel der liefde wordt bedekt. En dat zeg ik als iemand met 5 iphones, 2 macbooks en 3 ipads.
Het is gewoon niet veilig en vrij makkelijk te omzeilen. Dat kan zeer vervelende gevolgen hebben.
@Bas: Inderdaad.
Als je ziet wat je nodig hebt:
– secondenlijm of vingerafdrukpoeder (of grafietpoeder wat makkelijk te maken is met potlood en schuurpapier.
– camera of scanner. Veel multifunctionals kunnen deze resolutie aan.
– vingerafdruktape. Gewone transparante dozensluittape zal ook wel werken.
– laserprinter
– overheadsheet voor laserprinter
– houtlijm of latex.
De nieuwe methode gebruikt fotogevoelig printmateriaal. Als electronicus heb ik daar ook alles voor in huis. 🙂 Eens proberen op een dag als ik de 5S binnen heb.
Als mijn iPhone gestolen wordt is het eerste wat ik doe remote locken. Knappe jongen die sneller is met het kopieren van mijn vingerafdruk.
Tip voor de bange mensen: voeg alleen je ringvinger toe aan je Touch ID. Daarmee bestuur je de iPhone toch nooit, dus 99,9% kans dat ze het niet binnen 5 pogingen lukt aangezien ze een verkeerde vinger hebben “gekopieerd”.
En voor de nog bangere mensen: Koop een iPhone 5c.
OPGELOST! BAM!
Denk maar niet dat TouchID enkel gemaakt is voor je eigen gebruiksvriendelijkheid (unlock van telefoon en aankopen doen,…)
Laat je niets wijsmaken betreft beveiliging, er is gewoon geen beveiliging. Het duurt niet lang vooraleer je volledig getracked wordt door de NSA…
Het is al erg genoeg dat Apple toestemming geeft aan de politie om je telefoon volledig te controleren, wifi, foto’s, camera, enz..
Artikel
Als de gebruiker airplane mode opzet, kun je zelfs niet gebruik maken van remote control! LoL
@Sjaakie: Je hebt gelijk, daarom heb ik het bedieningspaneel ook uit staan in het toegangsscherm. 😉
De grote vraag is of er een reëele kans is dat een dief een bruikbare vingerafdruk van je iPhone af kan halen. Een vinger gebruiken waarmee je je iPhone nooit vasthoudt (bijv. de ringvinger of pink van je andere hand) sluit dit al sowieso uit.
Het inscannen van een daadwerkelijke vinger geloven we nu wel, dit is iets wat in de praktijk gewoon niet zal gebeuren.
Laat die hack club dit nu eerst eens lukken op jouw of mijn iPhone, zonder dat ze mijn vinger in mogen scannen, dan praten we verder. 😉
Ja maar Apple beweerde dat TouchID toch ook de onderliggende lagen van de vinger bekijkt? Dus het kopiëren en scannen van alleen je vingerafdruk zou eigenlijk dan geen toegang moeten geven.
Ik kom veel in aanraking met “normale” gebruikers die niet zo’n Nerd zijn als ik. Wat ik dagelijks tegenkom is dat mensen geen of een hele simpele code (bijv. 1234 of een geboortedatum) gebruiken. Er zou misschien eens onderzoek gedaan moeten worden naar hoeveel procent van de gebruikers hun iPhone werkelijk heeft beveiligd.
Voor ongeveer 50% van mijn klanten is een Touch-ID scanner dus een grote vooruitgang omdat ze voorheen helemaal geen beveiliging gebruikten.
Even ter aanvulling: er is geen scan van de vinger gebruikt, maar een hoge resolutie foto van een vingerafdruk op een glazen oppervlak (dat zou het glas van de iPhone kunnen zijn).