Hoe Touch ID gekraakt is en hoe weinig dat zegt

Door: Koen van Tongeren - 88 reacties

Het heeft tweeënhalve dag geduurd, maar Touch ID, de vingerafdrukscanner in de iPhone 5s, lijkt nu al gekraakt te zijn. De Duitse Chaos Computer Club zegt erin geslaagd te zijn om met ‘alledaagse’ middelen een kopie van een vingerafdruk gemaakt te hebben die door de iPhone 5s voor echt aangezien wordt.

Volgens de CCC is met deze methode definitief bewijs geleverd dat het gebruik van vingerafdrukken om je telefoon te beveiligen ‘stupid’ is. Een vergelijking met alternatieven is echter nergens terug te vinden in het statement van de club en voor wat betreft de eenvoud waarmee de hack uit te voeren is zijn ook wat vraagtekens te zetten. Wel komen complottheorieën naar voren over de biometrische industrie en overheden die hun bevolking willen onderdrukken.  

De methode die de Chaos Computer Club gebruikt is een verfijning van een bestaande methode om vingerafdrukken na te maken. De CCC geeft toe dat de hoge resolutie van de vingerafdrukscanner in de iPhone 5s moeilijker om de tuin te leiden is dan andere scanners. Toch is de methode eenvoudig en zijn de middelen die ervoor nodig zijn in elk huishouden te vinden, zo zegt de club. Oordeel zelf:

  • Maak een superhoge resolutie-foto (2400 dpi) van de volledige vingerafdruk
  • Retoucheer de foto en spiegel het beeld
  • Print het resultaat op een doorzichtig stuk plastic met een 1200 dpi-laserprinter. Gebruik een setting waarbij extra veel toner wordt gebruikt
  • smeer roze latexmelk over het resultaat en laat dit drogen
  • maak het resultaat een beetje vochtig, leg het op je vinger en voilà; een werkende vingerafdruk

In een filmpje laat een duidelijk zenuwachtige proefpersoon zien dat een iPhone 5s een vingerafdruk-kopie herkent als een echte. Volgens de CCC is deze kopie met bovenstaande methode gemaakt. Daarmee lijkt de club inderdaad een manier gevonden te hebben om Touch ID te misleiden. Toch roept de bijhorende blogpost meer vragen op dan er beantwoord worden.

Allereerst is het niet eenvoudig om een 2400 dpi-foto van een perfecte vingerafdruk te maken. Vingerafdrukken die achtergelaten worden op objecten die we aanraken zullen hier zelden voor gebruikt kunnen worden. Meestal ontbreken er delen of is de afdruk uitgesmeerd om dat de vinger bewoog bij het maken van de afdruk. Waarschijnlijk heeft de CCC een perfecte afdruk moeten maken van een vrijwilliger om de methode te kunnen laten slagen.

Misschien nog belangrijker is het feit dat de CCC beveiliging via vingerafdrukken ‘onveilig’, een ‘illusie’ en zelfs ‘dom’ noemt zonder de methode te vergelijken met bestaande alternatieven en zonder zelf een beter alternatief aan te dragen. Over het overgrote aantal smartphones dat nu helemaal geen beveiliging heeft wordt niet gesproken. Ook over de neiging van veel mensen om één code of wachtwoord voor meerdere toepassingen te nemen wordt niet gerept.

De CCC lijkt er dan ook vooral op uit te zijn om biometrische beveiligingsmethodes aan de schandpaal te nagelen en schiet daarbij al snel door naar een bedenkelijk niveau, zo blijkt wel uit een citaat van woordvoerder Frank Rieger.

We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token. The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access.

De schreeuwerige toon van het bericht en de verwijzing naar complottheorieën maakt het makkelijker om de hack van de CCC af te doen als irrelevant. Dat is zonde, want ergens tussen de halve waarheden en complottheorieën maakt de club wel degelijk een goed punt. Vingerafdrukken kun je niet veranderen en laat je wel overal achter. Ook al zullen de meeste afdrukken niet precies genoeg zijn om met bovenstaande methode een iPhone te unlocken, zeker weten doe je dat nooit.

Gelukkig belooft Apple dat Touch ID-gegevens alleen versleuteld opgeslagen worden in een beveiligde chip op de iPhone en nooit gesynchroniseerd worden. Daarbij verdwijnen deze gegevens van de chip als de meer dan 48 uur geen gebruik maakt van Touch ID.

Zonder zelf die conclusie te trekken valt uit het artikel van CCC op te maken dat de Touch ID-sensor in de iPhone 5s nauwkeuriger is dan de meeste vingerafdruksensoren, maar nog steeds te kraken is. Praktisch blijft het unlocken van je iPhone met je vingerafdruk daarmee nog steeds een beter idee dan géén beveiliging en zal het voor velen een veilig maar vooral gebruiksvriendelijker alternatief voor een wachtwoord of passcode zijn.

Blijf je echter net zo argwanend blijft over Touch ID als de Chaos Computer Club, dan is er altijd nog deze how-to:

Reacties

88 reacties
  • Profielfoto
    kvii

    Maar ze moeten nog steeds JOUW vingerafdruk hebben om dit te laten werken.
    Dus eigenlijk hoeven we nergens bang voor te zijn!

  • Profielfoto
    tomc

    Volgens mij is het simpeler om gewoon iemand z’n code te raden

  • Profielfoto
    bartje

    Tsja, we gaat het mee maken het komende jaar. Of we zijn het in 2015 helemaal vergeten, of elke smartphone en tablet heeft straks een scanner (vinger/iris).

    Zelf ben ik ook minder sceptisch aangezien de afdruk in combinatie werkt met een toegangscode. Het idee is wel wennen, om door je vinger te scannen toegang te krijgen, ik denk dat daarom ook de meeste argwaan ontstaat, omdat niemand het nog zo toegepast heeft zien worden. Ik kijk er eerlijk gezegd wel naar uit.

  • Profielfoto
    ---

    Maar ze moeten nog steeds JOUW vingerafdruk hebben om dit te laten werken.
    Dus eigenlijk hoeven we nergens bang voor te zijn!

    Euhm. Kijk eens naar je scherm. Durf te weden dat je wel een vingerafdrukje vindt.

  • Profielfoto
    Athens1

    Je bent ziek en hebt rijkelijk veel tijd over om dit uit te zoeken.

  • Profielfoto
    Martink

    Je kijkt sneller even over iemands schouder heen om te zien welke 4 cijferige code hij/zij intypt dan dat je even even een vingerafdruk namaakt. Mijn conclusie blijft dat vingerafdruk veiliger is dan een 4 cijferige pascode. Over een complex wachtwoord zit ik te twijfelen:)

  • Profielfoto
    iep

    Het niveau van dit artikel is van een veel bedenkelijker niveau dan die van de CCC. Het verschil is dat hier geen mensen zitten met daadwerkelijke knowhow van het onderwerp terwijl dat bij de CCC in veelvoud te vinden is. De auteur van dit artikel bedient zich dan ook van betweter gedrag waardoor je je moet af gaan vragen in hoeverre de statements omtrent “het is allemaal niet zo erg als het lijkt” juist zijn. Het laat ook zien dat de auteur overduidelijk niet weet hoe hij dit soort hacks moet duiden.

    Het gaat bij dit soort hacks nooit om hoe realistisch het is, het gaat er vooral om dat er gaten in zitten en de claims van fabrikanten en de industrie met een grote korrel zout genomen moet worden. Het is verder ook vooral bedoeld om de discussie op te roepen. Wat men namelijk niet weet is dat via social engineering ontzettend veel zaken zijn buit te maken. Wolfgang Schäuble dacht ook dat ie veilig was. Inmiddels staat zijn vingerafdruk op het internet nadat de CCC z’n glas waar hij uit had gedronken op een feestje had buitgemaakt. Belangrijk om te weten is dat de sensor in de iPhone zo ontzettend klein is dat hij in iets simpels als een home button is weg te werken. Dat hebben ze gedaan omdat je die button vaak gebruikt en het dus handiger is om ‘m daar in te stoppen. Helaas kun je dat ook omkeren: doordat niemand doorheeft dat daar een sensor zit kun je die ook gebruiken om iemands vinger te scannen. Even de iPhone van een ander gebruiken o.i.d. lijkt dan onschuldig maar is het niet. Had de auteur van dit artikel enige kennis van zaken gehad of even nagedacht over de materie dan had ie dit soort dingen kunnen weten.

    Voor een thuisgebruiker zal het allemaal niet zo veel uitmaken maar voor het bedrijfsleven en de politiek betekent dat de iPhone 5s dus helemaal niet veilig is als Apple je wil doen geloven. TouchID is vooral een feature voor het gemak, niet voor security.

    Wat we ook niet moeten vergeten is dat biometrische data als toepassing voor security een voordeel en een groot nadeel is. De data is uniek en dat is een voordeel maar juist ook het allergrootste nadeel. De data is namelijk te uniek. Zodra het op straat ligt kun je het nooit meer gebruiken en is er vaak geen alternatief. Juist dat is de boodschap die de CCC wil overbrengen. Liever van iets gebruik maken wat je kunt revoken dan iets waarmee dat niet kan (zoals biometrische data: revoken zou betekenen dat je vingers eraf moet hakken, ogen eruit moet pulken, etc.).

    De CCC is overigens vrij duidelijk over biometrische data in dit opzicht:

    „Die Öffentlichkeit sollte nicht länger von der Biometrie-Industrie mit falschen Aussagen an der Nase herumgeführt werden. Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern.“

    Ze zien daar dus wel degelijk nut voor biometrische data maar niet voor gebruik in alledaagse apparatuur zoals de iPhone. Voor een gebouw of deel van een gebouw waar erg strenge/hoge security eisen gelden is het een ander verhaal. Dat is het bewaken en controleren waar ze het in bovenstaande tekst over hebben.

    Btw, er zullen nu ongetwijfeld wat hackers bezig gaan om te kijken of ze die vingerafdruk uit de iPhone kunnen halen. Zo ja dan kun je een remote attack op zo’n iPhone plegen. Handig voor gerichte aanvallen op belangrijke mensen (politici bijv.).

  • Profielfoto
    SunKeeper

    Spullen staan in elk huishouden….

    Nou sorry, maar ik heb toch echt geen 1200 dpi-laserprinter die op plastic kan printen. (dat laatste kunnen normale consumentenprinters niet eens, grip van de drukrollen op plastic is niet genoeg)

    Conclusie: FAIL! Iemand doet nog meer moeite om met een keylogger iemand’s Apple ID te kraken dan op deze manier iemand’s vingerafdruk te stelen.

  • Profielfoto
    Panda

    @iep: +1 top reactie.

    Dit artikel is duidelijk uit het oogpunt van een Apple fanboy geschreven.

  • Profielfoto
    llowboy

    Goed geschreven! Mooie analyse!

  • Profielfoto
    INCTRL

    Maar ze moeten nog steeds JOUW vingerafdruk hebben om dit te laten werken.
    Dus eigenlijk hoeven we nergens bang voor te zijn!

    Euhm. Kijk eens naar je scherm. Durf te weden dat je wel een vingerafdrukje vindt.

    Je hebt die afdruk dan wel nodig in 2400 dpi. Ja “simpel” is het. lol

  • Profielfoto
    Lastminuteguy

    Dit is BS, de scanner kan ook zijn middelvinger door het plastic scannen, eerst maar een verse install vanaf het begin zien met dezelfde techniek en dan kan ik het misschien geloven. Neemt overigens niet weg dat als dit wel waar zou zijn -qoud non- de spullen die je er voor nodig hebt lastig te vinden zijn evenals een goede afdruk in die resolutie.

  • Profielfoto
    maconly

    Het is een gadget het is nu wachten op de eerste die er omheen kan .

    Wat is het grote verhasl omtrent ios 7 alleen de interface is anders en volgens mij lijkt het heel veel op android.

    Een jaar na de dood van Steve Jobs slaat de armoede al toe.

  • Profielfoto
    phd1975

    Alles is te kraken de vraag is alleen hoeveel moeite er voor gedaan moet worden. Sowieso is het natuurlijk niet verstandig om belangrijke data op een apparaat te zetten wat gestolen kan worden of je kan verliezen.

  • Profielfoto
    bartvdv

    Als ik het artikel lees, dan lijkt het wel alsof OMT de verdediging van Apple op zich moet nemen om een ‘gadget’ – want dat is het eigenlijk – enig belang te geven.

    Een paar voorbeelden:
    “… laat een duidelijk zenuwachtige proefpersoon zien…”;
    “… Allereerst…”;
    “… Misschien nog belangrijker is het feit dat de CCC beveiliging via vingerafdrukken ‘onveilig’, een ‘illusie’ en zelfs ‘dom’ noemt zonder de methode te vergelijken met bestaande alternatieven en zonder zelf een beter alternatief aan te dragen.”
    “… De schreeuwerige toon van het bericht en de verwijzing naar complottheorieën…”.

    Meer beangstigend is gewoon het feit dat het een onbetrouwbare manier blijkt om je gsm te beschermen.

  • Profielfoto
    Festen

    Stel dat de iPhone 5C/S door Microsoft was uitgebracht, en na een paar dagen al op drie meer of mindere makkelijke manieren kon worden gehackt: met Siri, door een alarmnummer te bellen, en nu met Touch ID. Dan was het gegniffel niet van de lucht, en de reactie “Redmond leert het nooit”.

    In ieder geval: als je je iPhone verliest, ben je de klos, ook als er een beveiliging op zit.

  • Profielfoto
    bartje

    Ondertussen zijn al veel beveiligingen voor iPhone/Android al onveilig verklaard. Zo zal alles uiteindelijk te hacken zijn. Het wordt allemaal nu weer erger gemaakt dan dat het is. Dat komt mede omdat het nieuw is, zoals ik al eerder zei.

    De ‘doemdenkers’ lijken met deze reacties te suggereren dat straks elke iPhone dmv vingerafdruk kopieën gehackt worden (politici of niet).

    En ja Apple houdt gewoon hun verkooppraatjes, de feature is juist bedoeld voor gemak en stiekem niet als high tech superbeveliging.

  • Profielfoto
    JTD

    Het is idd heel goed dat CCC geprobeerd heeft, en erin is geslaagd, om de TouchID te kraken.
    Ik kan me dan ook volledig aansluiten bij het comment van ‘iep’.

    Heel duidelijk valt vast te stellen dat Koen met zijn artikel laat zien dat hij er niet zo goed tegen kan dat er kennelijk mensen zijn die toepassingen van Apple kunnen kraken. Zijn hele artikel is doorspekt met insinuaties, stemmingmakerij en neerbuigendheid richting CCC. Terwijl CCC gewoon voldoet aan haar vrijwillige maatschappelijke verplichting door vraagtekens te zetten bij een toepassing waarvan de maker claimt dat die super veilig is.
    Dan hoeven ze echt geen alternatief aan te dragen hoor, Koen. Dat is niet het doel van zo’n kraak. Dat doen onderzoeksjournalisten ook niet. Die stellen iets aan de kaak zonder daar een oplossing voor te opperen. Oplossingen moeten aangedragen worden door de daarvoor aangewezen instanties.

    Wat Apple zegt over TouchID:
    “It’s a convenient and highly secure way to access your phone. Your fingerprint can also approve purchases from iTunes Store, the App Store, and the iBooks Store, so you don’t have to enter your password.”

    Dus is de vingerafdruk niet alleen voor het unlocken, maar ook voor aankopen te doen…

  • Profielfoto
    Di May

    Hier in België doet de afkorting CCC nog een ander onveilig belletje rinkelen …

  • Profielfoto
    Buzz

    Voor een thuisgebruiker zal het allemaal niet zo veel uitmaken maar voor het bedrijfsleven en de politiek betekent dat de iPhone 5s dus helemaal niet veilig is als Apple je wil doen geloven. TouchID is vooral een feature voor het gemak, niet voor security.

    Dan ben ik toch benieuwd waardoor jij de indruk hebt gekregen dat Apple ons dit wil doen geloven. Volgens mij brengen ze het in hun reclame-uitingen als een feature voor het gemak, en zijn ze juist overduidelijk niet aan het opscheppen dat dit dé oplossing is voor het beveiligen van gegevens voor het bedrijfsleven en politiek. Je maakt hier dus een stropopredenering.

    Apple laat het aan de gebruiker om te kiezen tussen het gebruik van Touch ID, een 4-cijferige code of een langer wachtwoord. Gebruikers die gevoelige informatie op hun iPhone 5s hebben staan zullen door hun IT-afdeling uiteraard aangeraden worden om voor de laatste optie te kiezen.

    De rest van je argumentatie gaat voor een groot deel over de mogelijkheid van het tegen je wil kunnen uitlezen van je vingerafdruk door derden. Apple verkondigt wel uitgebreid en duidelijk dat ze dit zo goed als maar kan onmogelijk hebben gemaakt, zowel met software als hardware. Het tegendeel hiervan is nog niet bewezen. Dus je lange betoog lijkt me daarom wat voorbarig.

    Het laat ook zien dat de auteur overduidelijk niet weet hoe hij dit soort hacks moet duiden.

    Dit lijkt me toch eigenlijk meer op je eigen reactie van toepassing dan op het artikel hierboven.

  • Profielfoto
    Sjurkie

    Spullen staan in elk huishouden….

    Nou sorry, maar ik heb toch echt geen 1200 dpi-laserprinter die op plastic kan printen. (dat laatste kunnen normale consumentenprinters niet eens, grip van de drukrollen op plastic is niet genoeg)

    Jij misschien niet, ik wel…

    Daarnaast, de Dell B1160w die 7 tientjes kost kan op 1200dpi transparanten printen, een scanner die op 2400dpi kan scannen kost dat ook. Latexmelk kost nog geen tientje dus voor zo’n 150 euro heb je de apparatuur bij elkaar om tientallen vingerafdruk-beveiligde iPhones te kraken.

  • Profielfoto
    Hydræ

    Bedenk dat je vingerafdruk op je iPhone zelf overal is te vinden, helemaal op de touch sensor zelf! Dus de hack lijkt bijna op een sleutel onder de deurmat geval. Daarnaast stond in het artikel wat ik hierover heb gelezen dat via FindMyPhone het sneller gaat om de foon onklaar te maken dan de tijd die het kost om een vingerafdruk na te maken.
    .
    @sjurkie
    Roemenie zegt: Bedanktski!:grin:

  • Profielfoto
    marcelnijman

    iep +++

  • Profielfoto
    MickvJ

    Artikelen zoals deze zorgen ervoor dat ik OMT steeds vaker links laat liggen als het om Apple nieuws gaat. De titel alleen al verraadde de Fan Boy-achtige strekking van het artikel, weinig andere websites reppen over “hoe weinig dit zegt” en vinden dit daadwerkelijk zorgelijk nieuws. Als dit voorval zich bij Android had voorgedaan dan had dit artikel waarschijnlijk zelf gesproken over hoe ‘onveilig’, een ‘illusie’ en zelfs ‘dom’ Touch ID wel niet is.

  • Profielfoto
    Imade

    Koen, wordt eens wakker!
    CCC laat enkel zien dat Tim Cook heeft GELOGEN en dat is iets wat ik via mijn eigen topics op OMT probeer duidelijk te maken!
    Ja het is voor het gemak ja!
    Maar voor beveiliging is het handiger als je een wachtwoord ontelbaar keer kan kraken, dan wanneer je het maar 10 keer kan.
    Vergeet btw niet je toetsenbord op je bedrijf/school met chloor te wassen hé?

  • Profielfoto
    Dutch_Muscle

    Het is natuurlijk ook volslagen stupide om te denken dat Apple iets bijzonders in handen heeft om een iPhone 5S te beschermen tegen oneigenlijk gebruik.
    Apple is er goed in geworden om mensen zooi te verkopen die je totaal niet nodig hebt.

    De beste oplossing is gewoon goed op je spullen te letten of gewoon bellen met een simpel telefoontje.

  • Profielfoto
    Dutch_Muscle

    Bovendien word het hier op OMT tijd voor objectieve verslaggeving. Die onrealistische, über pro-Apple retoriek draagt nergens toe bij.

  • Profielfoto
    H.deweg

    Ik vind dat CCC voornamelijk aangeeft hoe ontzettend moeilijk het is om zo’n fingerprint beveiligde iPhone te hacken. Beveiliging is nooit 100%, je kiest voor het niveau dat wenselijk en relevant is, zo doe twee sloten om mijn gewone fiets, mijn dure racefiets zet ik binnen. Het is als een verzekering een afweging tussen gemak, veiligheid en waarde. Vooralsnog begrijp ik dat die fingerprint op een aparte chip, die op geen enkel netwerk is aangesloten wordt opgeslagen, je mag dus stellen dat het electronisch, lees: anoniem op afstand, niet meer mogelijk is om toegang te krijgen tot de gedeelten die achter die print zitten. Ok, het is te hacken, maar dan moet je in een CSI pak met cellotape iemands print gaan kopiëren, hiervoor moet je in iemands nabijheid zijn en werkelijke toegang hebben tot zijn persoonlijk leven en habitat. Redelijk omslachtig, het slachtoffer moet dan wel buitengewoon interessant zijn; politici, drugsbaronnen etc… Deze zullen dan ook gebruik maken van andere (meestal dubbele) beveiligingsmethoden.
    Al met al mag je stellen dat het beveiligen van je telefoon met biometrisch materiaal uniek is en revolutionair, iets dat we nog niet hebben gezien. Of het wenselijk is, is de interessante discussie. Er wordt naar mijn menig terecht opgemerkt, het voordeel is dat het uniek is, maar dat is tegelijkertijd het grote nadeel. Bij het kraken van je print kan je het achteraf niet meer even veranderen. Het is dus de vraag of je zo’n zwaar en persoonlijk middel in wilt zetten om uiteindelijk een telefoon met wat emails en adressen te beveiligen. Persoonlijk gebruik ik helemaal geen screenlock omdat ik het irritant vind, wanneer mijn telefoon gestolen wordt, wis ik op afstand mijn account en koop ik voor een paar honderd euro een nieuwe. Super irritant, maar wat mij betreft een ingecalculeerd risico.

  • Profielfoto
    Imade

    H.deweg – Jouw ingerafdruk is al te jatten door enkel een glas waaruit jij gedronken hebt te pakken, zelfs een cola blik is voldoende.
    Jij laat overal je vingerafdruk achter.
    CCC laat goed zien dat de iPhone5S met TouchID helemaal niet zo veiliger is als Apple beweerd en data waar andere instanties niet bij kunnen?? Denk jij soms dat Snowden een leugenaar is ofzo?

  • Profielfoto
    jackybe67

    Het zijn niet de artikels hier die mij storen maar het aantal idioten dat hier rondlopen. Het zijn altijd dezelfde personen die een soort van vendetta uitvechten om maar te bewijzen hoe slecht toch alles van Apple is.

    Na het bekijken van video kan ik Koen alleen maar gelijk geven. De man maakt een afdruk van zijn eigen vinger om dan hard te gaan roepen hoe onveilig dit allemaal is. :-))
    Voor mij blijft dit een gemakkelijke manier om de iPhone te openen en aankopen te doen en laat mij niet bang maken door een paar onheil profeten hier.

  • Profielfoto
    H.deweg

    @Imade. Wat je over het hoofd ziet is, dat hacks interessant worden wanneer je ze op afstand, anoniem, geautomatiseerd en het liefst massaal kan uitvoeren. Natuurlijk kan jij mijn vingerafdrukken gaan kopiëren? Je moet dat weten wie ik ben waar ik woon, je moet met een speciaal cellotapje geruime tijd achter mij aanlopen. Je zult fysiek (is niet digitaal) iets moeten ondernemen. M.a.w nogal tijdrovend, risicovol en volstrekt zinloos wanneer je niet zeker weet of er mega interessante info op mijn telefoon staat. Dat is heel iets anders dan op een zolderkamertje via internet proberen iemands server of dergelijks te kraken. Of te wel (zie mijn eerdere post) dat jij mijn print gaat kopiëren is een risico dat ik wel wil nemen en waar ik mij erg veilig bij voel omdat de kans dat jij dat voor elkaar krijgt mij uiterst gering lijkt.

    Ik gebruik zelf een Android telefoon en ben verder niet een uitgesproken Appel fanboy, maar ik moet toch stellen dat door eigenlijk een hardwarematige beveiliging toe te voegen, Apple iets heel nieuws en interessants doet. Of het wenselijk is? Zie mijn eerdere post. Ik denk dat we de consequenties nog niet helemaal overzien.

  • Profielfoto
    Buzz

    H.deweg en jackybe67: jullie slaan allebei de spijker op zijn kop!

    Het gaat erom hoe een telefoon in de praktijk gebruikt wordt. De kritiek die hier klinkt is allemaal puur theoretisch geneuzel, en heeft niks met de praktijk te maken. Daarin heeft Koen volkomen gelijk.

    Vanuit praktisch oogpunt is Touch ID precies wat Apple zegt: “It’s a convenient and highly secure way to access your phone.” Gemakkelijk en veilig. Er zijn natuurlijk manieren om je telefoon beter te beveiligen (lang wachtwoord), maar die bieden minder gemak. Er zijn manieren om gemakkelijker toegang tot je telefoon te krijgen (geen passcode), maar die zijn minder veilig.

    Touch ID is een innovatieve verbetering waar geen van de concurrenten van Apple nog zelfs maar over heeft nagedacht, zo lijkt het. Over een jaar of wat zien we het op elke iPhone en iPad en wat later ook bij de concurrentie, en wordt het ook door de meeste critici hier gewoon gebruikt. Wedden?

  • Profielfoto
    Zakske

    Ik stoor me vooral aan de laatdunkende manier waarop Koen van Tongeren over het omzeilen van de beveiliging van Touch ID schrijft. Laten we eerst eens kijken wie wat is…

    Info:

    OMT is een Nederlandstalige site over Apple met wat podcasts, een forum en (veelal gekleurd) nieuws.

    De Chaos Computer Club is Europa’s grootste hackerscollectief, en bestaat sinds 1981.

    Faam:

    OMT had ooit een leuk interview met Woz, een korte serie over beroemde plaatsen in de geschiedenis van Apple én natuurlijk de foto’s van het jacht van wijlen Steve Jobs. Helaas trok dat laatste event zoveel bezoekers dat de site weken uit de lucht was.

    De Chaos Computer Club kraakte het Duitse Bildschirmtext-systeem, en schreef als bewijs DM 134.000 over op de rekening van de club. Daarnaast slaagden ze er in om de SIM-kaart van een GSM te clonen én het COMP128 encryptiealgoritme te breken. In 1996 lieten ze zien dat je door een aanval op ActiveX persoonlijke data kon veranderen in een Quicken-database, en is hierdoor medeverantwoordelijk voor het verdwijnen van het walgelijke ActiveX van Microsoft.

    Tja… dan geef ik in deze de Chaos Computer Club het voordeel van de twijfel.

  • Profielfoto
    Imade

    Buzz – Dit soort beveiliging hebben HP/Acer allang uitgevoerd.
    Apple heeft het enkel verbeterd.

  • Profielfoto
    IarwainBenAdar

    Goed dat mensen weten hoe (on)veilig gebruik van TouchID nou helemaal is. Al blijven het toch wel mission impossible achtige toeren (maar dan zonder de muziek en Tom Cruise) die je moet uithalen om het te “kraken”.

    “Gekraakt” vindt ik een beetje kort door de bocht, is je voordeurslot “gekraakt” als een slangemens door je WC raampje klimt?

    Wat mijzelf betreft: Touch ID is veel makkelijker en veel veiliger dan de pincode die ik nu gebruik, reden genoeg voor een iPhone 5s.

  • Profielfoto
    wouwout

    @iep prima reactie helemaal mee eens. Het niveau van dit artikel is zo pro-Apple en zo vergoelijkend / goed pratend, dat ik me afvraag of Apple de schrijver betaalt.

  • Profielfoto
    Imade

    Larwain – Criminelen zijn mensen als jouw 100% dankbaar dat jullie de grootste oplichters en leugenaars geloven.
    Apple betaalt immers geen belasting in NL, iets wat ik duid als fraude/oplichting/witwassen.

  • Profielfoto
    Imade

    Ik roep iedereen op om goed naar het filmpje te kijken en let eens op het scherm!
    HET SCHERM HET SCHERM HET SCHERM!!!
    Daar zie je al het afdrukje, precies wat ook op de home knop vindbaar zal zijn!

  • Profielfoto
    Infinitatus

    Volgens mij is het makelijker om iemands duim af te hakken dan bovenstaande beschreven methode.
    Je hoort er niemand over. Maar dat is wel om iets over na te denken in de toekomst.
    BTW ik werk op orthopedie. Dus ik weet dat duimen amputeren niet zo moeilijk is.

  • Profielfoto
    Dutch_Muscle

    @Zakske:hahaha geniaal!

  • Profielfoto
    Nic

    @iep: +veel

  • Profielfoto
    IarwainBenAdar

    @Imade
    Criminelen met voldoende hersens en doorzettingsvermogen om mijn vingerafruk na te maken besteden hun tijnd wel wat slimmer.

    Bedoel je dat het niet makkelijker en veiliger is dan een pincode?
    De meeste mensen gebruiken niet eens een pincode, en dit is even makkelijk.

    En “HET SCHERM HET SCHERM HET SCHERM!!!” ??
    Kom op! Leer eens beter trollen.

  • Profielfoto
    IarwainBenAdar

    @Imade En, voor het geval dat je echt zo dom bent, of misschien iemand anders hier (zou kunnen toch?): Nee, dat is niet de vingerafdruk.

  • Profielfoto
    Nic

    Volgens mij is het simpeler om gewoon iemand z’n code te raden

    De kans dat je iemands wachtwoord in één keer raadt is bij een viercijferige code 0.0001. Voor een viercijferige alfanumerieke code daalt deze kans naar circa 0.000000068. De kans dat jij nog dit jaar door de bliksem wordt geraakt is zo’n 20 maal groter. Succes met raden!;)

    De kans dat je iemands iPhone tegen zijn duim kunt houden als deze persoon slaapt, als ‘ie vastgebonden of geboeid is, of de kans dat je een van de honderden, zo niet duizenden, vingerafdrukken die iemand in huis achterlaat weet te gebruiken zoals CCC lijkt me vele malen groter.

  • Profielfoto
    IarwainBenAdar

    @Nic
    Veel mensen gebruiken niet eens een pincode. Deze kunnen voor hetzelfde gemak meer veiligheid krijgen.
    Kwaadwillenden moeten meer moeite doen, iemand vastbinden of zijn duim gebruiken in zijn slaap is toch een hoop meer gedoe dan even de telefoon zonder pincode lenen. En als je al bereid bent om iemand zo lang te stalken dat je weet welke vinger hij gebruikt en het lukt om een bruikbare afdruk te bemachtigen, is even meekijken bij de pincode toch wel makkelijker.

  • Profielfoto
    Imade

    @Imade
    Criminelen met voldoende hersens en doorzettingsvermogen om mijn vingerafruk na te maken besteden hun tijnd wel wat slimmer.

    Bedoel je dat het niet makkelijker en veiliger is dan een pincode?
    De meeste mensen gebruiken niet eens een pincode, en dit is even makkelijk.

    En “HET SCHERM HET SCHERM HET SCHERM!!!” ??
    Kom op! Leer eens beter trollen.

    Dat is geen trol, dat is aantonen waar zoal jouw vingerafdrukken te vinden zijn.

  • Profielfoto
    IarwainBenAdar

    Criminelen hadden toch al meer kans om te scoren bij Android.
    Met TouchID wordt het verschil nog een stukje groter.

    Als je samen met een manke wegrent voor een leeuw hoef je niet sneller te lopen dan de leeuw, alleen maar sneller dan de manke. De (gemiddelde) Android gebruiker is de manke.

  • Profielfoto
    IarwainBenAdar

    @Imade
    Ben benieuwd naar het filmpje waar ze laten zien hoe ze de vingerafdruk kopieren.
    Wordt een lang filmpje.

    Het filmpje zoals het er nu ligt kan makkelijk nep zijn (gewoon even middelvinger ook aanmelden bijvoorbeeld)

    Niet dat ik CCC daar voor aanzie, niet echt hun stijl.

    Vind het helemaal prima wat CCC doet overigens. Kan maar duidelijk zijn hoe makkelijk/moeilijk helemaal is.

  • Profielfoto
    Imade

    LOL Android een manke????
    Bij Apple gaan de meeste updates finaal fout, zo is mijn iPhone4S al 3 maal vastgelopen geweest sinds iOS7 erop staat.
    Heb er SPIJT van dat ik iOS7 heb geinstalleerd aangezien iOS6 er niet meer op gaat.
    Ik ga mede hierdoor weg bij Apple… omdat het een onveilig bedrijf is die haar klanten voor liegt en nog durft te cencureren ook nog!
    Nee… Apple krijgt mijn vingerafdruk niet!

  • Profielfoto
    MEEUW

    Wat een goed degelijk artikel lees ik ineens op OTM. chapeau!

  • Profielfoto
    Imade

    Ik vind het anders een bar slecht artikel.
    Gelukkig is nu.nl onafhankelijk en word het daar niet door een apple fanboy geschreven.

  • Profielfoto
    Hydræ

    Hoe weet je of een persoon echt interessante data op zijn/haar iPhone heeft staan, naast wat foto’s, muziek, chats.
    Het bewijs is gegeven dat er een manier bestaat om het te omzeilen. check. De moeite waard? alleen in een forensisch onderzoek lijkt me.

  • Profielfoto
    FotoDirk

    Wel opmerken dat je alleen (is al genoeg) toegang krijgt tot de persoonlijk data van de gebruiker.

    Je kan aankopen doen met de touch-id, maar die komen wel gelinkt met de apple-id van de originele eigenaar. Dus nu is de vraag of je ook het apple-id kan veranderen en dan nog aankopen kan doen met de touch-id?

    Verder moet je een passcode instellen. Want die wordt gevraagt na een powerup van de iPhone. Dus je moet de passcode toch ook nog kraken om de iPhone nuttig te kunnen gebruiken.

    Moeilijker wordt het als de eigenaar find-my-iphone had opstaan. Deze kan je niet uitzetten zonder het juiste apple-id/pw in te geven. Je kan de iPhone ook niet resetten zonder. Dus de originele eigenaar kan steeds zijn gestolen iPhone vanop afstand wissen en traceren. Je bent met deze hack voorlopig nog niets om een iPhone te stelen en te gebruiken.

  • Profielfoto
    Imade

    Hoe weet je of een persoon echt interessante data op zijn/haar iPhone heeft staan, naast wat foto\’s, muziek, chats.
    Het bewijs is gegeven dat er een manier bestaat om het te omzeilen. check. De moeite waard? alleen in een forensisch onderzoek lijkt me.

    Alle data is interesant genoeg in de onder wereld.

  • Profielfoto
    IarwainBenAdar

    Ik vind het anders een bar slecht artikel.

    Mwa. zeker niet slechter dan de komplete onzin van de gemiddelde Fandroid.
    Het nu.nl verhaaltje bevat in ieder geval geen grote feitelijke onjuistheden. Maar het is dan ook erg kort.

  • Profielfoto
    Nic

    @Nic
    Veel mensen gebruiken niet eens een pincode. Deze kunnen voor hetzelfde gemak meer veiligheid krijgen.
    Kwaadwillenden moeten meer moeite doen, iemand vastbinden of zijn duim gebruiken in zijn slaap is toch een hoop meer gedoe dan even de telefoon zonder pincode lenen. En als je al bereid bent om iemand zo lang te stalken dat je weet welke vinger hij gebruikt en het lukt om een bruikbare afdruk te bemachtigen, is even meekijken bij de pincode toch wel makkelijker.

    Je hebt een punt dat je voor hetzelfde gemak iets meer veiligheid hebt.
    Maar dat een vingerafdruk alleen veel minder bescherming biedt dan een passcode moge duidelijk zijn. Wat dacht je bijvoorbeeld van een politieagent die zich in de verhoorkamer gemakkelijk toegang wil verschaffen tot jouw iPhone 5s. Ja maar dat mag niet – als er in het leven nooit iets gebeurt wat niet mag hadden we überhaupt geen pincodes e.d. nodig.

    Criminelen hadden toch al meer kans om te scoren bij Android.
    Met TouchID wordt het verschil nog een stukje groter.

    Waarop exact baseer je je dat een viercijferige passcode bij Android makkelijker te kraken is dan bij iOS?

  • Profielfoto
    jackybe67

    Imade,

    veel plezier met Google. :-))

    Hier wat komen zeiken en trollen over de veiligheid van een Apple apparaat en dan overstappen naar een bedrijf dat bestempeld wordt al één van de engste bedrijven bedrijven qua privé bescherming. Haha, kom bijna niet bij. :-))

    En je kan nog steeds terug naar iOs 6 hoor als je dat zou willen.

    Ontopic :

    Als je geen vingerafdruk wilt geven dan doe je dat gewoon niet..opgelost.
    Google gaat dan wel je vingerafdruk niet krijgen, maar al de rest hebben ze dan wel mooi.:-)

  • Profielfoto
    Maverick9898

    Het artikel moet wel pro-Apple zijn. Als het ‘Touch-ID’ afkraakt heb je eigenlijk de hele iPhone 5s afgekraakt. Het is immers een iets snellere telefoon dan de iPhone 5 met een scanner voor vingerafdrukken;)!

  • Profielfoto
    INCTRL

    Wat is nu eigenlijk de definitie van kraken?

    Je moet met deze methode even de eigenaar wil poseren met zijn vinger zodat er een high res fotootje gemaakt kan worden van 2400 dpi van zijn vingerafdruk en hiermee kan je dan de iPhone unlocken. Is dit “KRAKEN”??

    Lol!

  • Profielfoto
    IarwainBenAdar

    Waarop exact baseer je je dat een viercijferige passcode bij Android makkelijker te kraken is dan bij iOS?

    Had het niet specifiek over de pincode, meer over Android in het algemeen en de mensen die het gebruiken. Bij Android is het aantal mensen die geen benul heeft en het allemaal niks kan schelen, als het maar gratis is, relatief veel groter. Het merendeel van de Android gebruikers zijn mensen die een goedkoop chinees dingetje kopen of een wat duurdere Koreaan krijgen krijgen aangesmeerd omdat de verkoper een bonus krijgt van Samsung. Er zijn natuurlijk ook Android gebruikers die weten wat ze doen (en juist daarom een Android toestel kopen) maar dit is een minderheid. Mede hierdoor is Android een makkeleijker doelwit voor criminelen. Biijvoorbeeld meer dan 70% van alle mobiele malware is voor Android, minder dan 1% voor iOS.

    Met Touch ID is alles net zo makkelijk als geen pin gebruiken, maar wel lastiger voor criminelen. iPhone word nog een beetje lastiger voor criminelen.

    Natuurlijk, als iemand met enig benul het echt op jou gemunt heeft, en bereid is er tijd in te steken, ben je toch de lul, Android of iOS maakt dan niet zo veel uit.

  • Profielfoto
    Sciron

    @iep, je haalt me de woorden uit de mond.

    Een artikel in verkeerd perspectief geschreven. Beneden OMT peil.

  • Profielfoto
    zepkleiker

    Zo, weer eens een artikel dat duidelijk door een fanboy geschreven is, met als doel om Apple tegen de boze buitenwereld te beschermen.

    iep geeft inderdaad een mooi betoog over hoe we dit artikel van OMT moeten interpreteren. De conclusies van de CCC lijken me terecht. Apple veinst dat een vingerafdruk een geweldig veilige manier is, en daar schuilt juist het gevaar in. Apple noemt het “a convenient and highly secure way to access your phone”.

    De zwakheden van een pincode zijn terdege bekend bij mensen, maar de zwakheden van vingerafdrukbeveiliging niet. Alleen dát maakt de uitspraken van de CCC al valide.

    Dat neemt overigens niet weg dat ik waarschijnlijk gewoon die vingerafdruklezer zou gebruiken hoor, maar het is belangrijk om te weten wat mogelijk én onmogelijk is.

  • Profielfoto
    Dutch-American

    Bij Android is het aantal mensen die geen benul heeft en het allemaal niks kan schelen, als het maar gratis is, relatief veel groter. Het merendeel van de Android gebruikers zijn mensen die een goedkoop chinees dingetje kopen of een wat duurdere Koreaan krijgen krijgen aangesmeerd omdat de verkoper een bonus krijgt van Samsung.

    Heb je hier ook bronnen voor? Of zit je weer gewoon dom te praten zoals Koen?

    Koen je doet het weer. Een dom artikel zonder enige argumentatie. Je begint echt de joseph goebbels van de Apple community te worden. Dom propaganda zonder enige inhoud. En de meeste domme isheeps trappen er weer blindelings in…

  • Profielfoto
    bvdabjorn

    De touchID is nog steeds veiliger dan een gewone code! Een code is veel gemakkelijker om te hacken, gewoon even mee op het scherm kijken en voilà je weet de code. Om de touchID te hacken heb je minstens een paar uur voor nodig en moet de vingerafdruk van de persoon goed genoeg zijn om hem te gebruiken. Kortom touchID is veiliger!

  • Profielfoto
    IarwainBenAdar

    Heb je hier ook bronnen voor? Of zit je weer gewoon dom te praten zoals Koen?

    Bijvoorbeeld:
    Wereldwijd ‘webshare” iOS 54,9% Android 28,1% zie hier, terwijl wereldwijd markaandeel iOS 13,2%, Android 79,3% zie hier. Waarom? De meeste Android gebruikers is helemaal niet geïnteresseerd in een smartphone, maar ze hebben zich een laten aansmeren. Of heb jij een andere verklaring?
    En dit hoe komt dat? De meeste Android gebruikers zijn komplete digibeten.

  • Profielfoto
    jackybe67

    @franklinvv

    als je al deze moeite moet doen om een goede vingerafdruk te bemachtigen en dan de gebruiksaanwijzingen moet volgen, ja dan ik de vingerafdruk nog altijd een goede beveiliging. Trouwens wie weet welke vinger ik gebruik en zodoende welke afdruk er moet gezocht worden?

    Bij mij gaat het gewoon om het gebruiksgemak en lig echt niet wakker van het feit dat mijn iPhone eventueel kan “gekraakt” worden.

    Dan mag er niemand nog een computer gebruiken waar windows opstaat, want die kan ook gemakkelijk gehackt worden en zeker geen Android met al zijn malware.

    Vind heel deze discussie een beetje bangmakerij.

  • Profielfoto
    Nic

    Wat is nu eigenlijk de definitie van kraken?

    Je moet met deze methode even de eigenaar wil poseren met zijn vinger zodat er een high res fotootje gemaakt kan worden van 2400 dpi van zijn vingerafdruk en hiermee kan je dan de iPhone unlocken. Is dit “KRAKEN”??

    Lol!

    Wellicht is het de moeite waard om het artikel eens te lezen, want je hebt de methode duidelijk niet begrepen.

  • Profielfoto
    Nic

    Ik ben Mac-gebruiker van jongs af aan, maar de iPod en iPhone hebben het niveau van de gemiddelde Mac-gebruiker, en Apple als geheel, danig naar beneden gehaald.

    Het is inmiddels haast zielig om te zien hoe een nieuwe generatie Apple-gebruikers (niet eens Mac-gebruikers) zonder enige overpeinzing voor Apple op de bres springt en alles voor zoete koek slikt, gesterkt door het idee dat ze ergens bij horen omdat ze de trotse eigenaar zijn van een te dure telefoon.

    Dit artikel is hier helaas een duidelijk voorbeeld van. Gelukkig zijn daar nog enkele rationele gebruikers die door de air (no pun intended) van de meute weet te prikken.

  • Profielfoto
    Imade

    Imade,

    veel plezier met Google. :-))

    Hier wat komen zeiken en trollen over de veiligheid van een Apple apparaat en dan overstappen naar een bedrijf dat bestempeld wordt al één van de engste bedrijven bedrijven qua privé bescherming. Haha, kom bijna niet bij. :-))

    En je kan nog steeds terug naar iOs 6 hoor als je dat zou willen.

    Ontopic :

    Als je geen vingerafdruk wilt geven dan doe je dat gewoon niet..opgelost.
    Google gaat dan wel je vingerafdruk niet krijgen, maar al de rest hebben ze dan wel mooi.:-)

    Deze link is voor jouw en je mede iSheeps. https://www.security.nl/posting/362700/

  • Profielfoto
    Imade

    Waarop exact baseer je je dat een viercijferige passcode bij Android makkelijker te kraken is dan bij iOS?

    Had het niet specifiek over de pincode, meer over Android in het algemeen en de mensen die het gebruiken. Bij Android is het aantal mensen die geen benul heeft en het allemaal niks kan schelen, als het maar gratis is, relatief veel groter. Het merendeel van de Android gebruikers zijn mensen die een goedkoop chinees dingetje kopen of een wat duurdere Koreaan krijgen krijgen aangesmeerd omdat de verkoper een bonus krijgt van Samsung. Er zijn natuurlijk ook Android gebruikers die weten wat ze doen (en juist daarom een Android toestel kopen) maar dit is een minderheid. Mede hierdoor is Android een makkeleijker doelwit voor criminelen. Biijvoorbeeld meer dan 70% van alle mobiele malware is voor Android, minder dan 1% voor iOS.

    Met Touch ID is alles net zo makkelijk als geen pin gebruiken, maar wel lastiger voor criminelen. iPhone word nog een beetje lastiger voor criminelen.

    Natuurlijk, als iemand met enig benul het echt op jou gemunt heeft, en bereid is er tijd in te steken, ben je toch de lul, Android of iOS maakt dan niet zo veel uit.

    Vergeet btw ook niet dat de politie jouw kan dwingen om je iPhone te unlocken.
    Als ze willen pakken ze gewoon je vinger en drukken ze hiermee je telefoon open.

  • Profielfoto
    Nic

    Vergeet btw ook niet dat de politie jou kan dwingen om je iPhone te unlocken.
    Als ze willen pakken ze gewoon je vinger en drukken ze hiermee je telefoon open.

    Exact!

  • Profielfoto
    Nosferatu

    Weer een lachwekkend fanboy-approach, dit -overigens- slecht onderbouwd stukkie van imade

  • Profielfoto
    iep

    Dan ben ik toch benieuwd waardoor jij de indruk hebt gekregen dat Apple ons dit wil doen geloven. Volgens mij brengen ze het in hun reclame-uitingen als een feature voor het gemak, en zijn ze juist overduidelijk niet aan het opscheppen dat dit dé oplossing is voor het beveiligen van gegevens voor het bedrijfsleven en politiek. Je maakt hier dus een stropopredenering.

    Nope, jij bent gewoon niet bekend met de reclame uitingen want wat vinden we onder het kopje TouchID op de website over de iPhone 5s:

    Put your finger on the Home button, and just like that your iPhone unlocks. It’s a convenient and highly secure way to access your phone. Your fingerprint can also approve purchases from iTunes Store, the App Store and the iBooks Store, so you don’t have to enter your password.

    Het eerste is de claim dat het zeer veilig is (dat is nog maar zeer de vraag) en het tweede is daar een demonstratie van door het toe te passen bij een payment system. Dit is ook in de keynote naar voren gekomen waarbij men heel erg de nadruk op security heeft gelegd. Dat moest ook wel gezien de NSA perikelen en het feit dat Apple net als de meeste andere grote Amerikaanse IT bedrijven daaraan gelinkt werd. Er werd heel erg de nadruk gelegd op het feit dat de vingerafdrukken veilig op de iPhone zelf in een apart stukje van de processor werd opgeslagen en vooral niet online werd gedeeld.

    Apple laat het aan de gebruiker om te kiezen tussen het gebruik van Touch ID, een 4-cijferige code of een langer wachtwoord. Gebruikers die gevoelige informatie op hun iPhone 5s hebben staan zullen door hun IT-afdeling uiteraard aangeraden worden om voor de laatste optie te kiezen.

    Nee die keuze hebben gebruikers niet. De TouchID sensor zit in de home button verwerkt dus iedere keer dat je daar je vinger oplegt wordt je vinger gescand. De enige keus die jij als gebruiker lijkt te hebben (met de nadruk op lijkt want er is nog geen onderzoek geweest die dit heeft bevestigd!) is de software kant: of je dat gescan gebruikt om je device te unlocken en aankopen te doen of dat daar toch een password/code voor nodig is.
    Om die reden zullen er veel IT-afdelingen zijn die het gebruik van TouchID afraden. Het is een blackbox waarbij niet te verifiëren is wat er nou daadwerkelijk gebeurd. Wanneer dit soort niveau van security nodig is zul je ook een harde garantie moeten hebben van hoe dingen werken en welke veiligheid daaraan gekoppeld is. Dat heb je met dit systeem totaal niet en dus zal het daardoor ook lang niet zo snel goedkeuring dragen.
    Daarnaast speelt ook de zeer slechte reputatie van vingerafdruklezers een rol waardoor deze nog nooit de voorkeur hebben gehad van de gemiddelde IT-afdeling (ultra eenvoudig te omzeilen via diverse wegen en op diverse manieren dus compleet useless).

    De rest van je argumentatie gaat voor een groot deel over de mogelijkheid van het tegen je wil kunnen uitlezen van je vingerafdruk door derden. Apple verkondigt wel uitgebreid en duidelijk dat ze dit zo goed als maar kan onmogelijk hebben gemaakt, zowel met software als hardware. Het tegendeel hiervan is nog niet bewezen. Dus je lange betoog lijkt me daarom wat voorbarig.

    En dat is dus waardoor dingen onveilig zijn: er vanuit gaan dat ze het niet doen. Bij security geldt het omgekeerde: er vanuit gaan dat het wel gebeurd en dat iets onveilig is. Hier geldt dan ook het veel gezondere “het is onveilig tot het tegendeel is bewezen” want dat voorkomt nare situaties waarbij de put gedempt zal worden als het kalf al verdronken is. Een principe die niet iedereen snapt en waardoor velen te laat zijn (het kwaad is al geschied).

    Dit lijkt me toch eigenlijk meer op je eigen reactie van toepassing dan op het artikel hierboven.

    Het woord “je” moet in dat geval “mijn” zijn want je reactie laat overduidelijk zien dat je van security totaal geen kaas hebt gegeten. Jij bent van het type die pas leert wat dingen inhouden als er doden en gewonden zijn gevallen ipv iemand die nou juist dat soort situaties probeert te voorkomen. De CCC, ik en vrijwel iedere echte IT’er zijn juist van dat laatste.

    Waar het hier vooral om gaat is dat mensen eerst eens gaan nadenken en niet klakkeloos dingen voor zoete koek slikken zoals jij en de auteur hier nu lijken te doen. Er zijn security issues met biometrische data waardoor je daarin erg terughoudend moet zijn. Je moet het alleen gebruiken voor zaken waar echt een hele hoge graad van beveiliging voor nodig is en juist niet voor alledaagse zaken. Het kromme hier is dat Apple nou juist een systeem heeft gebouwd voor die alledaagse zaken en verder stil blijft over hoe het nou werkt. Dat is een blackbox en blackboxes moet je nooit vertrouwen omdat je niet weet wat ze doen. Het hele NSA gebeuren is de allergrootste wake up call die je maar kunt hebben. Iedereen moet voor zichzelf maar beslissen hoe groot de risico’s zijn en of ze nou wel of niet aanvaardbaar zijn maar denk gewoon eerst eens na. Dat is het enige wat de CCC en anderen eigenlijk willen. Het gaat helemaal niet om de hack zelf.

    Het is niet voor niets dat de Nederlandse overheid het gebruik van vingerafdrukken inmiddels in de ban heeft gedaan. Ze mogen niet meer gebruikt worden voor de ID-kaart, nog wel voor in het paspoort maar dat komt meer door internationale wet- en regelgeving.

    Hoe weet je of een persoon echt interessante data op zijn/haar iPhone heeft staan, naast wat foto\’s, muziek, chats.
    Het bewijs is gegeven dat er een manier bestaat om het te omzeilen. check. De moeite waard? alleen in een forensisch onderzoek lijkt me.

    Kijk en dat zijn de vragen die je dan zou moeten stellen. De NSA heeft laten zien dat ze belangstelling hebben in iedere levende ziel op deze planeet. Dat stokje hebben ze kennelijk van de Stasi overgenomen, die wilde dat ook en dat werd uiteindelijk hun ondergang. De positie van de persoon in de maatschappij bepaald of zijn devices (smartphone, tablet, computer, afval, etc.) interessant zijn of niet. Deze mensen kun je uitspelen met macht en dat werkt aanzienlijk beter als je iets compromiterends hebt. Ook kun je via deze weg achter bepaalde informatie komen die interessant is voor bepaalde partijen. Denk aan data van een rechtszaak, data van defensie en ga zo maar door. Ook bedrijfsspionage speelt daarin een rol (iets waarvoor onze eigen AIVD waarschuwt omdat Nederlandse bedrijven hier erg gevoelig voor zijn; kennelijk is er weinig gevoel voor security, niet zo raar als je een aantal reacties hier bekijkt).

    Dit zijn dus vooral handige hacks voor aanvallen op specifieke personen maar ook voor overheidsinstanties zoals de NSA en TSA waarvan bekend is dat zij dit op grote schaal doen. We moeten geen illusies maken dat andere vergelijkbare diensten zoals de AIVD dit niet zouden doen.

    De touchID is nog steeds veiliger dan een gewone code! Een code is veel gemakkelijker om te hacken, gewoon even mee op het scherm kijken en voilà je weet de code.

    Op het werk moeten we ons eigen admin account met wachtwoord gebruiken want dan hoeven we het wachtwoord van maar 1 account te wijzigen als deze door malware o.i.d. buit wordt gemaakt. Zouden we met vingerafdrukken werken dan kan dat niet. Eenmaal de vingerafdruk buitgemaakt… Identiteitsfraude wordt er ook ineens aanzienlijk makkelijker door (en dan ben je zwaar de sjaak want dat heb je pas na 10 tot 15 jaar opgelost).

  • Profielfoto
    IarwainBenAdar

    De TouchID sensor zit in de home button verwerkt dus iedere keer dat je daar je vinger oplegt wordt je vinger gescand.

    Ben wel benieuwd hoe je dat weet.

  • Profielfoto
    hendrik ijzerbroot

    Ik geloof dat dit ook al in een James Bond film voorkwam… (dunne folie met iemands vingerafdruk over je eigen vingertop plakken.):wink:

    Nu heeft Koen het erover dat (voor de leek! want de politie doet het dagelijks met state of the art apparatuur) het fotograferen van een vingerafdruk erg lastig is (vaak nauwelijks contrast) en dat klopt ook wel en daarom slaan we de persoon in kwestie bewusteloos of geven we hem een slaapdrankje en fotograferen we gewoon zijn vingertop of we kraken de vingerafdruk database…:cool:

    En anders: als je eenmaal b.v. via een glas een mooie foto hebt gemaakt zul je toch eerst je eigen er van moeten verzekeren dat de vingerafdruk van de persoon in kwestie is. En dat betekent dat de dader (of zijn handlanger) aanwezig moet zijn op het moment dat het glas wordt beetgepakt want anders is al het werk voor niets.

  • Profielfoto
    Alpha

    Wat een gedoe om helemaal niks.

  • Profielfoto
    Elduderino

    Ik dacht dat Tweakers erg was met Apple bashers, maar het is hier bijna net zo erg.
    Er zitten reacties tussen welke werkelijk uit blinde woede zijn neergezet. Kritiek hebben op een artikel of Apple prima, onderbouw het dan wel en maak er geen sport van. Sommige reageren hier direct met alle complot theorieën als ” ze zullen altijd wel de vinger scannen ook al gebruik je het niet”

    OMT heeft hier zeker ook wel een punt. Ja het is prima dat CCC deze techniek aan de kaak stelt. Het is een additionele vorm van beveiliging welke voor vele gebruikers verhogend werkt. Hoeveel mensen gebruiken niet of een zeer voorspelbare toegangscode, heel veel. Voor dit soort mensen is het beter dan helemaal niets. Waar is men bang voor? De vingerafdruk van elke persoon is overal wel te krijgen, dus dan gaat het om toegang tot het toestel.
    Nu is dat soms makkelijker met een simpele code. Maar stel je doet het via bovenstaand kunstje, het is te doen maar niet makkelijk. Men moet eerst wel mijn toestel bemachtigen en dan hopen dat intussen het toestel nog niet als verloren is
    gemarkeerd.
    Heeft men toegang tot email, pijnlijk, heel pijnlijk maar anderzijds was dit via de code ook vrij simpel. Bang voor regeringen? Heren, we hebben allemaal lekker onze email in de cloud staan, die hoeven geen moeite te doen om hierbij te kunnen en dat telt voor veel data.
    Laten we niet hypocriet zijn, hoeveel van ons gebruiken zelfde passwords op websites, gooien alles in de cloud en gebruiken we zwakke wachtwoorden en dumpen daarnaast hun hele sociale leven op social media.
    En juist de zwakke password is iets waar men zorgen over moet maken, hoeveel gebruiken nog geen password manager en door het systeem gegenereerde wachtwoorden? Heel veel.

    Het gebruik van de afdruk is beperkt op de iPhone. Apple geeft zelf aan dat het niet volwassen genoeg is om het overal voor te gebruiken en heeft daarnaast verschillende extra beveiliging ingeregeld. Onze vingerafdrukken zijn overal te vinden en bekend bij elke regering. Daar maak ik me geen enkele illusie.
    Je moet het met verstand gebruiken, maar het is nou niet echt de grootste security breach die ik ben tegengekomen.

  • Profielfoto
    Buzz

    Het eerste is de claim dat het zeer veilig is (dat is nog maar zeer de vraag) en het tweede is daar een demonstratie van door het toe te passen bij een payment system. Dit is ook in de keynote naar voren gekomen waarbij men heel erg de nadruk op security heeft gelegd.

    Blijkbaar is het veilig genoeg dat Apple haar betalingssysteem eraan durft toe te vertrouwen. Dat zegt wel wat. Als het daarvoor in de praktijk niet naar behoren zou werken zouden ze behoorlijk gezichtsverlies leiden.

    Nee die keuze hebben gebruikers niet. De TouchID sensor zit in de home button verwerkt dus iedere keer dat je daar je vinger oplegt wordt je vinger gescand.

    Onzin! Waar heb je dat vandaan?

    Het is een blackbox waarbij niet te verifiëren is wat er nou daadwerkelijk gebeurd. Wanneer dit soort niveau van security nodig is zul je ook een harde garantie moeten hebben van hoe dingen werken en welke veiligheid daaraan gekoppeld is. Dat heb je met dit systeem totaal niet en dus zal het daardoor ook lang niet zo snel goedkeuring dragen.

    Apple hangt haar goede naam er aan op. Voor mij is dat garantie genoeg.

    En dat is dus waardoor dingen onveilig zijn: er vanuit gaan dat ze het niet doen. Bij security geldt het omgekeerde: er vanuit gaan dat het wel gebeurd en dat iets onveilig is. Hier geldt dan ook het veel gezondere “het is onveilig tot het tegendeel is bewezen” want dat voorkomt nare situaties waarbij de put gedempt zal worden als het kalf al verdronken is. Een principe die niet iedereen snapt en waardoor velen te laat zijn (het kwaad is al geschied).

    Hier komt de aap uit de mouw. Jij bent zo’n type van het theoretische IT geneuzel met geen enkele waardering voor hoe gebruikers IT in het echt gebruiken! Geef me eens een voorbeeld uit de praktijk van kwaad dat al geschied is dan… dan kunnen we daarna verder praten.

    Jij bent van het type die pas leert wat dingen inhouden als er doden en gewonden zijn gevallen

    Haha! Doden en gewonden!

    ipv iemand die nou juist dat soort situaties probeert te voorkomen. De CCC, ik en vrijwel iedere echte IT\’er zijn juist van dat laatste.

    Nu zijn jullie dus de mensenlevens reddende helden met jullie roze latexmelk!

    Waar het hier vooral om gaat is dat mensen eerst eens gaan nadenken en niet klakkeloos dingen voor zoete koek slikken zoals jij en de auteur hier nu lijken te doen. Er zijn security issues met biometrische data waardoor je daarin erg terughoudend moet zijn. Je moet het alleen gebruiken voor zaken waar echt een hele hoge graad van beveiliging voor nodig is en juist niet voor alledaagse zaken.

    Leg me dan eens met een realistisch praktijkvoorbeeld uit waarom niet. Want ik wil best nadenken, maar blijkbaar begrijp ik het nog niet. Dus geef me alsjeblieft een realistisch scenario waar ik van schrik, en geen theoretisch verhaal dat van algemeenheden aan elkaar hangt.

    Het kromme hier is dat Apple nou juist een systeem heeft gebouwd voor die alledaagse zaken en verder stil blijft over hoe het nou werkt.

    Ik heb het idee dat ze juist uiterst vrijgevig zijn in dit geval met informatie over hoe het werkt. Het klinkt mij juist erg goed doordacht in de oren. Het had in ieder geval veel onveiliger gekund.

    Dat is een blackbox en blackboxes moet je nooit vertrouwen omdat je niet weet wat ze doen.

    Het hele iOS ecosysteem is in feite één grote black box. Als je dat niet vertrouwd dan kies je voor bijvoorbeeld Android, maar voor mijn gevoel ben je dan juist minder veilig. Er zijn genoeg manieren om erachter te komen wat er ongeveer in deze black box gebeurt, zonder dat je door dat te onderzoeken meteen de methode onbruikbaar maakt. Dat is dan juist weer een voordeel van een black box. Als het allemaal open source zou zijn geweest met uitwisselbare hardware, en zonder aanspreekpunt dat haar reputatie er aan verbonden heeft, dan zou ik me juist meer zorgen gaan maken dat iemand er mee zou hebben geknoeid.

    Op het werk moeten we ons eigen admin account met wachtwoord gebruiken want dan hoeven we het wachtwoord van maar 1 account te wijzigen als deze door malware o.i.d. buit wordt gemaakt. Zouden we met vingerafdrukken werken dan kan dat niet. Eenmaal de vingerafdruk buitgemaakt… Identiteitsfraude wordt er ook ineens aanzienlijk makkelijker door (en dan ben je zwaar de sjaak want dat heb je pas na 10 tot 15 jaar opgelost).

    Als het risico niet te verwaarlozen zou zijn dat iemand je vinger afdruk buit maakt en misbruikt om toegang tot je gegevens te krijgen, dan moet je je vingerafdruk inderdaad niet voor dit soort toepassingen gebruiken. Dat is een makkelijke stelregel. Gelukkig zal deze regel voor 99% van de iPhone gebruikers niet op gaan, en is het voor hen dus een prima feature.

  • Profielfoto
    qjb

    De boodschap van de CCC hack is mijns inziens: Gebruikt geen biometrische gegevens als sleutel omdat je deze gegevens overal achter laat en niet kunt veranderen.

    Dat men nu je iPhone’tje kan unlocken en een appje kan kopen is natuurlijk niet zo interessant. Betalen met je telefoon zit er echter al aan te komen en ik kan me voorstellen dat het motief om telefoons actief aan te vallen daarmee groter wordt.

    Het feit dat ik nu geen ernstiger vorm van misbruik of escalatie kan bedenken vormt echter op geen enkele wijze een belemmering voor creatievere of verdorvener geesten om op enige moment in de toekomst iets te bedenken waarvan iedereen terugdeinst en denkt: oei dat hadden we niet zien aankomen.

    Het zelf nu niet kunnen bedenken van dergelijk misbruik zou ik dan ook niet als maatstaf willen gebruiken voor de beoordelen van deze biometrische beveiligingsvariant. Het enige wat we nu zeker weten is dat het niet achterlaten van vingerafdrukken vrijwel ondoenlijk is en dat veranderen van vingerafdrukken zo mogelijk nog lastiger is.

    Dit laatste kan iedereen denk ik prima volgen. Het is vervolgens heel veilig om aan te nemen dat iemand dit zal weten te misbruiken.

  • Profielfoto
    Buzz

    Inderdaad. Maar op het moment dat de oorlog uitbreekt, ik moet vrezen voor de geheime politie, dat ik denk dat er gangsters met roze latexmelk het op mijn vingerafdruk hebben voorzien, dat ik minister van defensie wordt of dat het er op lijkt dat mijn kinderen dure apps in de app store gaan kopen met mijn nagemaakte vingerafdruk, lijkt het mij vroeg genoeg om Touch ID uit te schakelen in de Settings app. Dat kan ook iedereen prima volgen, toch? Daarom zie ik geen enkele reden om er zo principieel over te doen als de CCC en haar aanhangers hier op dit forum. Ze maken zich in mijn ogen wel een beetje belachelijk met hun dogmatische standpunt.

  • Profielfoto
    IarwainBenAdar

    En, nog steeds ontbreekt het belanrijkste filmpje: het maken van de kopie.
    De CCCers hebben wellicht ook gewoon een baan en het maken van een kopie, in een filmpje dat duidelijk en overtuigend is doe je niet in een uurtje.
    Ik vraag me wel een beetje af of ze niet bang zijn dat als de mensen zien hoe veel werk en/of geluk er nodig is om de kopie te maken ze Touch ID eigenlijk best veilig vinden. Niet de boodschap die CCC graag had willen geven.

    In ieder geval istouchidhackedyet.com is overtuigd en gaat betalen.

  • Profielfoto
    IarwainBenAdar

    By the way, voor wie het nog niet gezien heeft: hier wat meer details van Apple.
    Hier zeggen ze dat de sensor onder de huid kan kijken, maar dan zou je verwachten dat de CCC truc niet zou werken.

  • Profielfoto
    bartje

    As an on-line discussion grows longer, the probability of a comparison involving Nazis or Hitler approaches.

    Ook hier weer :’)

  • Profielfoto
    ln.XSOcam

    Als je zo graag een telefoon wilt hacken en cola-blikjes gaat stelen om een vingerafdruk te vinden dan is het volgens mij een stuk simpeler om een slaapdrankje in de cola te doen en het juiste vingertje (en iPhone) even te lenen. (en dat is toch nog steeds lastiger dan gewoon even kijken op afstand welke cijfertjes de persoon indrukte bij de pincode)

  • Profielfoto
    andrekolmeijer

    1. Als je dus je vinger scant heb je de code dus niet nodig… dus dubbele beveiliging is het niet.
    2. Je kunt fingerprints toevoegen en hij maakt de scan steeds preciezer naar mate je hem vaker gebruikt… hoe verfijnd was en/of hoe vaak hebben ze die scan gedaan, voordat ze em gekraakt hebben?
    Rest mij wel de vraag wat je hebt aan een super verfijnde scan als deze na 48 uur weer verwijderd wordt? Moet je dan prints opnieuw er in gaan zetten? Handig…
    Daarbij zul je toch altijd je code moeten onthouden voor het geval dat je net al je vingers verbrand… als je t mij vraagt is het gewoon handig dat je niet elke keer je code hoeft in te voeren en hij toch nog (enigszins) beveiligd is.

  • Profielfoto
    Buzz

    andrekolmeijer: de informatie over je vingerafdruk wordt niet verwijderd na 48 uur, hij hoeft dan dus niet opnieuw geleerd te worden door de iPhone. Zo begrijp ik het in ieder geval. Het enige dat na 48 uur geen gebruik gebeurt is dat je óók eerst even je passcode in moet voeren, voordat je weer het gemak van je vingerafdruk kan gebruiken. De reden achter deze 48 uur limiet is, denk ik, dat als je iPhone gestolen wordt de dieven niet dagen lang de tijd hebben om je vingerafdruk perfect na te proberen te maken. Dat namaken moet namelijk wel binnen vijf pogingen goed gaan. Zo zie je maar weer dat er echt wel goed over is nagedacht door Apple. In de tijd die de dief nodig heeft om binnen 48 uur en 5 pogingen de vingerafdruk perfect te kopiëren zal de eigenaar meestal wel via Find My iPhone een remote wipe commando moeten kunnen geven.

    Maar de meeste gebruikers zullen wel vrijwel elke dag tenminste één keer de iPhone unlocken, dus last van deze maatregel heb je zelf niet zo vaak. Voor de rest heb je helemaal gelijk. Het is vooral een feature voor het gebruiksgemak. Het gemak is niet dat je niet meer een passcode hoeft te onthouden, het gemak is dat het unlocken met de vingerafdruk sneller en soepeler gaat dan via een passcode.

  • Profielfoto
    Poezenbeest

    De vraag is dus hoeveel veiligheid je wil en of een biometrische sleutel daar wel de juiste sleutel voor is.

    Hoewel met de bestanden op mijn iPhone er veel over mij te leren valt en dus mijn identiteit makkelijker na te bootsen is, loop ik weinig risico omdat mijn identiteit niet zo gewild is. Daarom ben ik tevreden met fysieke veiligheid (telefoon bij me houden) en een pincode. Als ik echt veidligheid wil, dan gebruik ik mijn vingerafdruk ook als sleutel om de gegevens op de telefoon zelf te versleutelen en zo een unieke en niet voor de hand liggende sleutel te genereren die niet te kraken valt. Toegang tot die gegevens moet ik dan echter wel anders regelen.

    Stel ik zou de vingerafdruk nemen, een niet-vervangbare sleutel en die wordt uiteindelijk gekraakt, dan heb ik dus met op zich niet zulke interessante gegevens (lees: gegevens die niet zoveel beveiliging nodig hebben) een sleutel gebruikt waar ik maar één keer gebruik van kan maken. Aangezien diezelfde sleutel nu al in mijn paspoort staat en ik verwacht hem in de toekomst voor belangrijkere zaken te moeten gaan gebruiken, is het niet slim om die nu al in te zetten. Bij het ècht kraken van de Touch-ID ben ik dan best wel de lul.

    Aan de andere kant is het wel een sleutel die ik altijd bij me draag en niet kan vergeten, daarnaast is hij ook sneller en accurater dan een passcode.

    Nogmaals is het dus even afwegen tussen hoeveel veiligheid je nodig denkt te hebben (door de meeste mensen zwaar overschat overigens) en hoeveel veiligheid je vingerafdruk je biedt ten opzichte van alternatieven als een passcode. Zet dit tegenover de voordelen en maak dan je eigen, persoonlijke keuze.

  • Profielfoto
    Zakske

    Hier zeggen ze (Apple) dat de sensor onder de huid kan kijken, maar dan zou je verwachten dat de CCC truc niet zou werken.

    C’t heeft een video (zie link onder) van het proces om Touch ID om de tuin te leiden, daarin kun je duidelijk zien dat die sensor niet onder de huid kijkt.

    http://www.heise.de/video/artikel/The-iPhone-5s-Touch-ID-hack-in-detail-1966044.html