Koen van Tongeren
Koen van Tongeren Nieuws 22 september 2013

Hoe Touch ID gekraakt is en hoe weinig dat zegt

Het heeft tweeënhalve dag geduurd, maar Touch ID, de vingerafdrukscanner in de iPhone 5s, lijkt nu al gekraakt te zijn. De Duitse Chaos Computer Club zegt erin geslaagd te zijn om met ‘alledaagse’ middelen een kopie van een vingerafdruk gemaakt te hebben die door de iPhone 5s voor echt aangezien wordt.

Volgens de CCC is met deze methode definitief bewijs geleverd dat het gebruik van vingerafdrukken om je telefoon te beveiligen ‘stupid’ is. Een vergelijking met alternatieven is echter nergens terug te vinden in het statement van de club en voor wat betreft de eenvoud waarmee de hack uit te voeren is zijn ook wat vraagtekens te zetten. Wel komen complottheorieën naar voren over de biometrische industrie en overheden die hun bevolking willen onderdrukken.  

De methode die de Chaos Computer Club gebruikt is een verfijning van een bestaande methode om vingerafdrukken na te maken. De CCC geeft toe dat de hoge resolutie van de vingerafdrukscanner in de iPhone 5s moeilijker om de tuin te leiden is dan andere scanners. Toch is de methode eenvoudig en zijn de middelen die ervoor nodig zijn in elk huishouden te vinden, zo zegt de club. Oordeel zelf:

  • Maak een superhoge resolutie-foto (2400 dpi) van de volledige vingerafdruk
  • Retoucheer de foto en spiegel het beeld
  • Print het resultaat op een doorzichtig stuk plastic met een 1200 dpi-laserprinter. Gebruik een setting waarbij extra veel toner wordt gebruikt
  • smeer roze latexmelk over het resultaat en laat dit drogen
  • maak het resultaat een beetje vochtig, leg het op je vinger en voilà; een werkende vingerafdruk

In een filmpje laat een duidelijk zenuwachtige proefpersoon zien dat een iPhone 5s een vingerafdruk-kopie herkent als een echte. Volgens de CCC is deze kopie met bovenstaande methode gemaakt. Daarmee lijkt de club inderdaad een manier gevonden te hebben om Touch ID te misleiden. Toch roept de bijhorende blogpost meer vragen op dan er beantwoord worden.

Allereerst is het niet eenvoudig om een 2400 dpi-foto van een perfecte vingerafdruk te maken. Vingerafdrukken die achtergelaten worden op objecten die we aanraken zullen hier zelden voor gebruikt kunnen worden. Meestal ontbreken er delen of is de afdruk uitgesmeerd om dat de vinger bewoog bij het maken van de afdruk. Waarschijnlijk heeft de CCC een perfecte afdruk moeten maken van een vrijwilliger om de methode te kunnen laten slagen.

Misschien nog belangrijker is het feit dat de CCC beveiliging via vingerafdrukken ‘onveilig’, een ‘illusie’ en zelfs ‘dom’ noemt zonder de methode te vergelijken met bestaande alternatieven en zonder zelf een beter alternatief aan te dragen. Over het overgrote aantal smartphones dat nu helemaal geen beveiliging heeft wordt niet gesproken. Ook over de neiging van veel mensen om één code of wachtwoord voor meerdere toepassingen te nemen wordt niet gerept.

De CCC lijkt er dan ook vooral op uit te zijn om biometrische beveiligingsmethodes aan de schandpaal te nagelen en schiet daarbij al snel door naar een bedenkelijk niveau, zo blijkt wel uit een citaat van woordvoerder Frank Rieger.

We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token. The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access.

De schreeuwerige toon van het bericht en de verwijzing naar complottheorieën maakt het makkelijker om de hack van de CCC af te doen als irrelevant. Dat is zonde, want ergens tussen de halve waarheden en complottheorieën maakt de club wel degelijk een goed punt. Vingerafdrukken kun je niet veranderen en laat je wel overal achter. Ook al zullen de meeste afdrukken niet precies genoeg zijn om met bovenstaande methode een iPhone te unlocken, zeker weten doe je dat nooit.

Gelukkig belooft Apple dat Touch ID-gegevens alleen versleuteld opgeslagen worden in een beveiligde chip op de iPhone en nooit gesynchroniseerd worden. Daarbij verdwijnen deze gegevens van de chip als de meer dan 48 uur geen gebruik maakt van Touch ID.

Zonder zelf die conclusie te trekken valt uit het artikel van CCC op te maken dat de Touch ID-sensor in de iPhone 5s nauwkeuriger is dan de meeste vingerafdruksensoren, maar nog steeds te kraken is. Praktisch blijft het unlocken van je iPhone met je vingerafdruk daarmee nog steeds een beter idee dan géén beveiliging en zal het voor velen een veilig maar vooral gebruiksvriendelijker alternatief voor een wachtwoord of passcode zijn.

Blijf je echter net zo argwanend blijft over Touch ID als de Chaos Computer Club, dan is er altijd nog deze how-to:

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Reageer op artikel:
Hoe Touch ID gekraakt is en hoe weinig dat zegt
Sluiten