Touch ID ingannato da hacker tedesco: il Video dell'impresa

[blogo-video provider_video_id=”” provider=”vimeo” title=”Starbug’s Touch ID Attack.” thumb=”http://b.vimeocdn.com/ts/449/897/449897851_295.jpg” url=”http://vimeo.com/75324765″]
Aggiornamento del 29 settembre 2013

L’hacker Starbug del gruppo Chaos Computer Club di Berlino, è riuscito a violare il blocco dell’iPhone 5s con il Touch ID grazie ad un trucco ben progettato. Questo successo gli ha fatto vincere il premio messo in palio da Nick De Petrillo su IsTouchIDHackedYet.com per chi violasse per primo le difese del Touch ID di Apple. Il premio in denaro e in bottiglie di alcol è stato dato in beneficenza al Raumfahrtagentur, un gruppo derivato dal Chao Computer Club.

L’inganno messo in atto da Starbug non è un vero e proprio hack informatico, bensì una serie di trucchi ben pensati per copiare l’impronta digitale del proprietario dell’iPhone 5s. La sicurezza intrinseca del Touch ID di Apple non viene violata: dal punto di vista puramente informatico si tratta di una tecnologia solida. Con il Touch ID, Apple ha introdotto il riconoscimento biometrico nei suoi dispositivi: il sistema riconosce le impronte digitali del proprietario del dispositivo e solamente a lui dà accesso. Questa tecnologia può però essere facilmente ingannata, come possiamo vedere dal video illustrativo, perché le impronte digitali sono forse l’informazione più facile da recuperare su un touch screen.

Il procedimento seguito da Starbug è il seguente:

1. Grazie a uno scanner, viene ottenuta un’immagine ad alta risoluzione dell’iPhone 5s, dalla quale viene recuperata l’immagine dell’impronta digitale.
2. La foto dell’impronta digitale viene invertita e se ne ottiene poi la sua immagine speculare che viene stampata su carta trasparente lucida.
3. La stampa viene applicata su supporto PCB e poi sviluppato ed inciso come un’acquaforte.
4. L’immagine in rilievo viene coperta da grafite per scurirla e poi una semplice colla viene usata per ottenerne un calco.
5. Un collega di Starbug mostra come sia possibile con il calco ottenuto simulare l’impronta digitale del proprietario dell’iPhone 5s, per infine sbloccarlo.

Il trucco è ingegnoso, anche se non si tratta di un vero e proprio trucco informatico. Per evitare hack come questo, basta usare altre parti del corpo per sbloccare l’iPhone, oppure pulire lo schermo dopo l’uso. Avere mano poco unte anche aiuta…

Touch ID ingannato da hacker tedesco

Aggiornamento del 24 settembre 2013

La sfida di Nick De Petrillo è stata raccolta e in meno di due giorni, la taglia su Touch ID è stata incassata da Starbug, un hacker tedesco del gruppo Chaos Computer Club. La tecnica usata da Starbug è più presa in prestito da CSI, scena del crimine piuttosto che da capacità informatiche vere e proprie. Vediamo di cosa si tratta, nell’attesa che venga reso pubblico il video che descrive l’intero exploit.

Tutto parte dall’idea che le impronte digitali sono, in fin dei conti, un’informazione facile da ottenere. Nel caso del furto di un iPhone 5s, si tratta forse dell’informazione più facile da ottenere, visto che il dispositivo dispone di un touch screen. Con tecniche da polizia scientifica, Starbug ha recuperato dallo schermo di un iPhone 5s l’impronta del dito del suo proprietario e l’ha poi trasferita su un altro mezzo (apparentemente si tratta di latex), per infine sbloccarvi il telefono grazie a Touch ID.

L’avvenuto crack è stato confermato da De Petrillo su Twitter, che ha già versato i 16 mila dollari più regali vari della taglia a Starbug, il quale ha rigirato il premio a Raumfahrtagentur, uno spinoff del Chaos Computer Club di Berlino. La tecnica usata da Starbug è stata anche replicata da Marc Rogers e il gruppo di Mudge Zatko e Dominick Rizzo. In basso invece proponiamo il video originale di Starbug, nell’attesa che realizzi un altro video con l’aiuto di un collega.

Con Touch ID ingannato con una certa facilità, dobbiamo dire addio alla sicurezza su iPhone 5s? In realtà no, perché il riconoscimento biometrico è sempre stato violabile, a patto di ottenere i dati necessari, come le impronte digitali dell’indice del proprietario, in questo caso. La sicurezza intrinseca di Touch ID di Apple non è stata scalfita dall’inganno di Starbug: tecniche di criptazione e accesso ai dati biometrici sono sempre altamente affidabili. Bisogna solamente essere accorti nell’uso di questo tipo di sensore, visto che apparentemente è facile ottenere i dati delle impronte digitali.

Una maniera per evitare un hack sullo stile di quello perpetrato da Starbug, potrebbe essere quella di non usare l’indice per sbloccare l’iPhone 5s, bensì un altro dito, come il mignolo o l’anulare, poiché questi raramente si usano sul touch screen. Abbiamo anche visto che Touch ID ha un’estesa capacità di riconoscimento dei dati biologici: funziona quindi sia con altre parti del corpo, sia addirittura con le impronte di animali; usiamo quindi queste estese funzionalità per ingannare chi ha ingannato Touch ID.

[blogo-video provider_video_id=”X8kvzYBe-ghClGWxr” provider=”jwplayer” title=”iphone 5S il sensore di impronte Touch ID” thumb=”http://bvideo.blogo.it/thumbs/X8kvzYBe-720.jpg” url=”http://bvideo.blogo.it/players/X8kvzYBe-ghClGWxr.js”]

Violare il Touch ID dell’iPhone 5s, la sfida di Nick De Petrillo

[img src=”https://media.melablog.it/c/cd8/iPhone-5s-Touch-ID-impronta-digitale.jpg” alt=”Touch ID, riconoscimento impronte digitali” height=”350″ title=”iPhone-5s-Touch-ID-impronta-digitale” class=”alignnone size-full wp-image-115563″]

Il sensore di impronte digitali Touch ID, integrato nel tasto Home del nuovo iPhone 5s, è stato introdotto da Apple per effettuare acquisti online con la massima sicurezza. Universalmente riconosciuto come più affidabile e sicuro della maggior parte dei dispositivi simili presenti in commercio, il sensore Touch ID è una delle principali novità presentate dalla casa di Cupertino, la quale spera con esso capeggiare la corsa al mercato delle transazioni elettroniche.

Durante la presentazione dell’iPhone 5s, Phil Schiller ha insistito sulla facilità d’uso del dispositivo con il tocco di un dito; si tratta di uno degli aspetti principali di questa tecnologia di riconoscimento biometrico, destinato sicuramente ad attrarre molti utenti, ma che cattura anche l’attenzione di una folta comunità di hacker. Infatti, saranno molti coloro che tenteranno di violare la tecnologia per il riconoscimento di impronte digitali, per scopi poco legali o semplicemente per vantarsi di aver eseguito l’exploit.

A lanciare ufficialmente la caccia al crack di Touch ID è Nick De Petrillo, un esperto in sicurezza digitale che ha promesso un premio in denaro al primo che sarà capace di ingannare il riconoscimento di impronte digitali del’iPhone 5s. Nella sua pagina istouchidhackedyet.com, De Petrillo raccoglie offerte per poi versare il premio al primo hacker capace di violare il Touch ID: finora sono stati raccolti circa 16 mila dollari e vari doni di diversa natura (bottiglie di vino, whisky e un iPhone 5c) di montepremi per questa taglia su Touch ID. Versamenti per infoltire la taglia si possono effettuare sulla stessa pagina istouchidhackedyet.com.

L’uso generalizzato del riconoscimento biometrico per gli acquisti in Internet è sicuramente un tema destinato a cambiare il nostro approccio alle transazioni online. Avere la sicurezza che una tale tecnologia sia inviolabile è basilare per poterla usare quotidianamente. Da subito si è parlato della sicurezza intrinseca del Touch ID: anche se addirittura dei gatti potrebbero essere capaci di sbloccare l’iPhone 5s e se diverse parti del corpo possono essere usate per sbloccare il dispositivo, niente ha ancora dimostrato che esista una falla nel meccanismo di riconoscimento biometrico di Apple.

Allo stato attuale, De Petrillo comunica che forse The Chaos Computer Club, originario della Germania, sia riuscito a violare le barriere di sicurezza dell’iPhone 5s. Molti sono scettici sull’annuncio, dati i numerosi falsi allarmi registrati finora. De Petrillo commenta che è nell’attesa di una prova definitiva dell’avvenuto exploit e, come lui, rimaniamo in attesa anche noi.