Touch ID omzeilen kan, maar gewone gebruiker heeft weinig te vrezen
De Chaos Computer Club demonstreerde dit weekend hoe je de Touch ID-scanner van de iPhone 5s om de tuin kon leiden. Het was een “eenvoudig proces” dat je kon uitvoeren met “spullen die in elk huishouden aanwezig zijn”. CCC-teamlid Starbug heeft nu een nieuwe video gemaakt, waarin hij uitlegt hoe de procedure werkt. Beveiligingsexpert Marc Rogers heeft alle stappen nagelopen en vindt dat de gemiddelde consument niets te vrezen heeft.
Het is niet zo dat je even snel een vingerscan neemt en die door Touch ID laat inlezen. De procedure vergt nogal wat stappen en je hebt er voor meer dan duizend dollar aan apparatuur (zie foto) voor nodig. Bovendien is Starbug’s bewering dat de benodigde materialen in elk huishouden aanwezig zijn, niet helemaal terecht. Niet iedereen heeft cyanoacrylaat (een soort superlijm), vingerafdrukpoeder en vingerafdruktape liggen, laat staan een 2400 dpi-scanner. Starbug verwachtte dat hij wel twee weken bezig zou zijn om Touch ID te omzeilen, maar was in 30 uur klaar. Die 30 uur is echter een te grote tijdsinvestering om de hack echt interessant te maken.
Zelfs als je alle tijd hebt en alle stappen nauwgezet volgt is succes nog niet gegarandeerd. Volgens Rogers gaat het vaak mis. “Praktisch gezien bevindt een aanval zich een beetje in het rijk van een John le Carré-boek. Het is niet iets wat de gemiddelde straatrover zou kunnen. En zelfs dan moet je nog veel geluk hebben”. Je krijgt immers maar vijf pogingen om de namaakvinger te scannen. Toch geeft ook Rogers toe dat het systeem inderdaad niet helemaal waterdicht is. Als een boef veel tijd en geld ervoor over heeft en behoorlijk gemotiveerd is om data van iemand te ontfutselen, dan lukt het. Je moet dan wel fysiek dichtbij het slachtoffer kunnen komen om de vinger goed te kunnen scannen (bijvoorbeeld terwijl hij slaapt). Bij een gewone gebruiker waar weinig te halen valt, is dat teveel moeite.
Toch roept de hack wel interessante vragen op. Apple vertelde tijdens de presentatie van de Touch ID-sensor dat niet de buitenste huidlaag wordt gescand, maar de iets dieper gelegen huidlagen. Daardoor is het onbegrijpelijk dat je met een laserprinter een bruikbare nep-vingerafdruk kunt maken. Apple krijgt ook kritiek uit andere hoek: de Amerikaanse senator Al Franken heeft een brief naar Tim Cook gestuurd, met daarin een aantal indringende beveiligingsvraagen. Hij wil weten hoe de vingerafdrukken worden opgeslagen en hoe groot de kans is dat deze data onderschept kan worden. Om vragen van consumenten voor te zijn heeft Apple een uitleg over de beveiliging van Touch ID online gezet.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Touch ID
Lees alles over Touch ID, de vingerafdrukscanner van de iPhone, iPad en Mac. Hiermee kun je je toestel ontgrendelen, apps ontgrendelen, Apple Pay gebruiken en andere activiteiten goedkeuren. Op veel iPhones is Touch ID vervangen door Face ID, maar de vingerafdrukscanner is nog steeds belangrijk als een manier om veilig in te loggen. Je vindt de Touch ID-sensor nu nog op de iPhone SE, alle iPads (behalve de iPad Pro) en op de Mac, zowel op MacBooks als op desktop-Macs in combinatie met het Magic Keyboard met Touch ID-sensor.
Reacties: 23 reacties