fingeravtrycksläsaren i nya iphone "knäckt".

Tråden skapades och har fått 98 svar. Det senaste inlägget skrevs .

var tydligen inte så säkert.

http://www.ccc.de/en/updates/2013/ccc-breaks-...

nu kommer i alla fall jag invänta en lösning innan jag köper mig en ny iphone.
om det går att lösa..(?)

#nyhetstips

Senast redigerat 2013-09-23 00:06

Trodde du att det var säkert?

  • Medlem
  • Malmö
  • 2013-09-23 00:09

Se där, ingen kul läsning.

Ursprungligen av mjewl:

var tydligen inte så säkert.

http://www.ccc.de/en/updates/2013/ccc-breaks-...

nu kommer i alla fall jag invänta en lösning innan jag köper mig en ny iphone.
om det går att lösa..(?)

#nyhetstips

Menar du på allvar att du ser det där som ett problem för dig? Jag är inte ert dugg bekymrad för säkerheten på min telefon (när jag får den)

Citat:

The method follows the steps outlined in this how-to with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.

"Almost every household..." Är att ta i. Först så ska man fotografera fingeravtrycket i 2400 dpi... Det spricker där.

Klart att det är irriterande att de har lyckats knäcka läsaren och det gick snabbare än vad jag trodde. Jag antar att samma metod går att använda på andra typer av fingertryckssensorer (någon som vet?) men det kommer inte hindra mig från att köpa telefonen eller att använda funktionen. Problemet/risken är så fruktansvärt liten. Då är ett vanligt inbrott hemma ett betydligt större problem om det inträffar och större sannolikhet att det inträffar.

Fast det är klart, det här kommer att bli domedagsrubriker på AB. #Doomed

Edit. Vem behöver Chaos:)? http://www.youtube.com/watch?v=MAfAVGES-Yc

Senast redigerat 2013-09-23 06:29
Ursprungligen av zinned:

Se där, ingen kul läsning.

Tvärtom väldigt bra läsning. Det är alltid bättre att hitta såbarheter så tidigt som möjligt för att det ska finnas möjligheter att åtgärda dem och minimera riskerna. Alternativet är att "bovarna" hittar dem först och det är inte bättre.

Låter som de gjort som i vilken agentfilm som helst. Det är väl problemet med fingeravtryck, vi lämnar det överallt.

  • Medlem
  • 2013-09-23 08:19

Jag vill citera forumets saknade medlem Golflorp. Vid en diskussion om just fingeravtrycksläsare till datorer och säkerhet sa han för något/några år sedan ungefär att: "Allt som krävs för att knäcka denna teknik är en ljummen avskuren hotdog".
Inte bildligt menat då, men jag kan förstå vad han menade om säkerheten.

  • Medlem
  • Västerås
  • 2013-09-23 08:20

Sannolikheten att hitta mina fingeravtryck på min telefon är stor. Inte behöver någon bryta sig hos mig för att hitta dem.
Att tillverka ett konstgjort finger är så svårt att de vanligaste tjuvarna (ofta drogbellastade) inte kommer att göra det.

  • Medlem
  • Linköping
  • 2013-09-23 08:27

Ingen som såg det Mythbustersavsnittet för några år sedan då dom öppnade ett lås med fingeravtrycksläsare med liknande teknik? Eller dom testade flera tekniker och lyckades till o med öppna det genom att hålla ett papper med avtrycket utskrivet mot scannern...

Nåja, nu kanske scannern på 5S mer avancerad än den dom testade men jag har svårt att tro att apple inte testade den mer ingående att dom visste att det var så här lätt. Och då är det märkligt att dom går vidare med tekniken kan jag tycka, dels för att jag förutspår att det kommer bli rätt mycket negativ PR runt detta och dels för att den i praktiken blir väldigt osäker om du ska göra nåt som kräver mer säkerhet t ex inköp eller identifikation mot myndigheter och företag.

Nu minns jag iofs inte om Apple själva sa att dom skulle använda tekniken till detta men det har spekulerats om det på diverse ställen på nätet hursom.

Ursprungligen av urkan:

Ingen som såg det Mythbustersavsnittet för några år sedan då dom öppnade ett lås med fingeravtrycksläsare med liknande teknik? Eller dom testade flera tekniker och lyckades till o med öppna det genom att hålla ett papper med avtrycket utskrivet mot scannern...

Nåja, nu kanske scannern på 5S mer avancerad än den dom testade men jag har svårt att tro att apple inte testade den mer ingående att dom visste att det var så här lätt. Och då är det märkligt att dom går vidare med tekniken kan jag tycka, dels för att jag förutspår att det kommer bli rätt mycket negativ PR runt detta och dels för att den i praktiken blir väldigt osäker om du ska göra nåt som kräver mer säkerhet t ex inköp eller identifikation mot myndigheter och företag.

Nu minns jag iofs inte om Apple själva sa att dom skulle använda tekniken till detta men det har spekulerats om det på diverse ställen på nätet hursom.

Jag länkade till det avsnittet för några inlägg sedan:)

  • Medlem
  • Linköping
  • 2013-09-23 08:39
Ursprungligen av BlackSmp:

Jag länkade till det avsnittet för några inlägg sedan:)

Ah! Det missade jag...smyglänk

  • Medlem
  • Trondheim
  • 2013-09-23 09:15

Fingeravtryck är uppenbarligen inte det säkraste av metoder för att hålla sin data säker. Men den är ju bättre än ingen kod alls, vilket många använder för att de inte orkar skriva in fyra tecken varje gång de ska komma åt telefonen, min fru är ett exempel. Jag vet inte hur inställningarna ser ut i 5s/c men om man kan använda fingeravtryck till att bara låsa upp telefonen, inte köpa appar t.ex. då tycker jag ändå att det är en acceptabel kompromiss.

  • Medlem
  • Stockholm
  • 2013-09-23 09:27
Ursprungligen av mjewl:

var tydligen inte så säkert.

http://www.ccc.de/en/updates/2013/ccc-breaks-...

nu kommer i alla fall jag invänta en lösning innan jag köper mig en ny iphone.
om det går att lösa..(?)

#nyhetstips

Vid presentationen av fingeravtrycksläsaren nämnde Apple att 50% av alla iPhone-användare inte skyddar sin telefon med en PIN-kod.

För dessa innebär fingeravtrycksläsare en stor ökad säkerhet. Det är mycket bekvämare med fingeravtryck om implementationen är snabb. Vilket TouchID är.

Däremot hoppas jag att ingen inbillar sig att TouchID är säkrare än en PIN-kod. Jag hoppas att ingen som är insatt i säkerhetsteknik är förvånad över "avslöjandet" att TouchID går att lura eftersom alla sensorer kan manipuleras.

Frågan man måste ställa sig är ju vad värdet är på det som ska skyddas. Om en telefon värd 7000 eller mer blir stulen så kanske inte största problemet är att någon kan se senaste SMS eller köpa ett par appar för några tior. Men om telefonen innehåller företagshemligheter eller ger fri tillgång till alla ens bankkonton så kanske läget är ett annat. Då kanske man vill ha högre säkerhet och då är inte fingeravtryck så bra.

Det viktigaste vid fingeravtrycksläsare (och annan biometri) är:
Dina fingeravtryck är inte hemliga

All säkerhetslösning som på något sätt utgår från att din biometri är hemlig är felaktig.
Allt snack om att iPhone kan "läcka" fingeravtryck till tredje part (vilket den inte kan) är likaledes missriktat. På vilket sätt skulle det vara ett problem att något som inte är hemligt "läcks"?

Ursprungligen av andas:

...tycker jag ändå att det är en acceptabel kompromiss.

Håller med.

Om det bara kan få fler (som jag själv t.ex) att ha någon form av lås på sin telefon, så är det ett steg i rätt riktning.

Att det sedan inte duger till bank-appar och liknande är en annan sak.

  • Medlem
  • Malmö
  • 2013-09-23 09:30
Ursprungligen av John A:

Tvärtom väldigt bra läsning. Det är alltid bättre att hitta såbarheter så tidigt som möjligt för att det ska finnas möjligheter att åtgärda dem och minimera riskerna. Alternativet är att "bovarna" hittar dem först och det är inte bättre.

Du missförstod helt och hållet. Jag menade att det var tråkig läsning om att det var så "lätt". Givetvis är det bra att det kommer till kännedom.

Ursprungligen av pesc:

Frågan man måste ställa sig är ju vad värdet är på det som ska skyddas. Om en telefon värd 7000 eller mer blir stulen så kanske inte största problemet är att någon kan se senaste SMS eller köpa ett par appar för några tior. Men om telefonen innehåller företagshemligheter eller ger fri tillgång till alla ens bankkonton så kanske läget är ett annat. Då kanske man vill ha högre säkerhet och då är inte fingeravtryck så bra.

Bra skrivet (jag klippte bort en del)

Det som jag blir fundersam över är varför "gemene" man blir så oroad? Användingsfallet är att undvika att vem som helst kommer in i telefonen utan större besvär - inte att skydda innehållet mot alla möjliga former av intrång. Touch Id och pinkod är en "first line of defence" som räcker väldigt långt.

Som en av mina säkerhetschefer på jobbet sa en gång. "Poängen med kodlås är inte så mycket att hindra folk att ta sig i. De kan alltid ta sig in genom att slå sönder ett fönster eller en vägg - men då ser man det och vet att det har varit ett intrång"

Samma sak här. Poängen är inte att hindra alla från att ta sig in, poängen är att göra det lättare att använda skyddet och göra det tillräckligt krånligt att ta sig in så att de flesta inte bryr sig om att försöka.

Ursprungligen av pesc:

Vid presentationen av fingeravtrycksläsaren nämnde Apple att 50% av alla iPhone-användare inte skyddar sin telefon med en PIN-kod.

För dessa innebär fingeravtrycksläsare en stor ökad säkerhet. Det är mycket bekvämare med fingeravtryck om implementationen är snabb. Vilket TouchID är.

Däremot hoppas jag att ingen inbillar sig att TouchID är säkrare än en PIN-kod. Jag hoppas att ingen som är insatt i säkerhetsteknik är förvånad över "avslöjandet" att TouchID går att lura eftersom alla sensorer kan manipuleras.

Frågan man måste ställa sig är ju vad värdet är på det som ska skyddas. Om en telefon värd 7000 eller mer blir stulen så kanske inte största problemet är att någon kan se senaste SMS eller köpa ett par appar för några tior. Men om telefonen innehåller företagshemligheter eller ger fri tillgång till alla ens bankkonton så kanske läget är ett annat. Då kanske man vill ha högre säkerhet och då är inte fingeravtryck så bra.

Det viktigaste vid fingeravtrycksläsare (och annan biometri) är:
Dina fingeravtryck är inte hemliga

All säkerhetslösning som på något sätt utgår från att din biometri är hemlig är felaktig.
Allt snack om att iPhone kan "läcka" fingeravtryck till tredje part (vilket den inte kan) är likaledes missriktat. På vilket sätt skulle det vara ett problem att något som inte är hemligt "läcks"?

Pin-kod är för simkortet, så vad uttalandet om att endast 50% använder det har med saken att göra ser jag inte. Touchid/lösenkod är två andra saker som skyddar något helt annat.

Och vadå några tior? Du vet att det finns appar för flera tusen på AppStore va? (Upp emot 10.000:-)

Sen har vi tillgången till Facebook, mail (återställa lösenord) och finns säkert fler saker jag inte kommer på nu i min trötthet.

Läste någonstans att Apple påstod att touchid var säkrare än lösenkod, det är ju rent skitsnack hur som helst.

Och jag kommer då inte köpa ny iPhone om det är så lätt att komma åt innehållet på min telefon (och då t.ex min mail/återställning av lösenord på diverse sidor och tjänster samt handla på mitt kort i AppStore)

PIN-kod är en generell term. Det kan användas till så mycket mer än SIM-kortet och det är uppenbart att vi avser lösenkoden för den låsta skärmen

Jag tror fortfarande att det är en väldigt låg risk för att bli utsatt för detta intrång. Och om du personligen är oroad så är det bara att låta bli att aktivera Touch Id och köra på din vanliga lösenkod.

  • Avstängd
  • Bangkok Thailand
  • 2013-09-23 10:53

Vem skulle gå genom krånglet att kopiera dina fingeravtryck mjewl?
Så i praktiken är Touch-ID säkrare i det stora hela för majoriteten av användarna.
Om man har kodlåset igång och öppnar telefon hundra gånger per dag är Touch-ID ett säkert och enklare sätt att stänga ute arbetskamrater ifall man glömmer telefonen på fikabordet.

Dom som gått och trott att Touch-ID är 100% säkert har lurat sig själva.
Kommer då inte ihåg att Apple sagt det på keynoten att det skulle vara 100% säkert.

Ta det för vad det är,en fungerande säkerhet att låsa ute klåfingriga vänner och arbetskamrater.

Senast redigerat 2013-09-23 14:13
Ursprungligen av lappen71:

Ta det för vad det är,en fungerande säkerhet att låsa ute klåfingriga vänner och arbetskamrater.

Samt för den klåfingriga som norpar andras lurar när tillfälle ges. Om någon verkligen vill åt min information finns det oerhört mycket lättare sätt än att kopiera mina fingeravtryck.

Lika bra att detta tas upp nu, även om det säkert kommer att blåsas upp i svarta kvällstidningsrubriker eftersom det är Apple

Vad som kan läsas ut av det är att Touch ID är en bra fingeravtrycksläsare, bättre än de tidigare, men i slutändan lider av samma brister som andra typer av biometriska tekniker och går att kringå för den drivne som kan tekniken och har möjlighet att lyfta ditt fingeravtryck från en yta.

Det gör att man bör använda Touch ID därefter, och avväga risk och värde på innehållet. För den som idag inte har en vanlig pinkod är detta fortfarande ett stort lyft, men för den som vill ha bättre säkerhet är en lång pinkod (inte bara fyra siffror) fortfarande att föredra.

Apples spärr på 48 timmar är en god lösning för att minska risken ytterligare, det gör att den som avser att hacka telefonen den vägen måste skynda sig att producera ett fejkat fingeravtryck.

Personligen skulle jag gärna se att Apple förfina inställningsmöjligheterna, så att jag skulle kunna ställa in något i stil med:
- Inget lås på en minut.
- Touch ID på 2-60 minuter.
- Pinkod på 61 minuter och över.

  • Medlem
  • Stockholm
  • 2013-09-23 11:49
Ursprungligen av Adrian B:

Apples spärr på 48 timmar är en god lösning för att minska risken ytterligare, det gör att den som avser att hacka telefonen den vägen måste skynda sig att producera ett fejkat fingeravtryck.

Just den här finessen tycker jag är väldigt bra ihop med TouchID. För det sätter en tidsgräns på hur lång tid skurken har för tillverka ett finger som lurar läsaren. Jag skulle personligen vilja kunna sätta ner tidsgränsen från 48 timmar till kanske 4. Men som alltid är det ju en avvägning mellan bekvämlighet och säkerhet.

  • Medlem
  • ?
  • 2013-09-23 12:17
Ursprungligen av lappen71:

Gäsp gäsp och åter gäsp.

Vem i helvete skulle gå genom krånglet att kopiera dina fingeravtryck mjewl?
Så i praktiken är Touch-ID säkrare i det stora hela för majoriteten av användarna.
Om man har kodlåset igång och öppnar telefon hundra gånger per dag är Touch-ID ett säkert och enklare sätt att stänga ute arbetskamrater ifall man glömmer telefonen på fikabordet.

Dom som gått och trott att Touch-ID är 100% säkert har lurat sig själva.
Kommer då inte ihåg att Apple sagt det på keynoten att det skulle vara 100% säkert.

Ta det för vad det är,en fungerande säkerhet att låsa ute klåfingriga vänner och arbetskamrater.

?Man kan registrera avtryck från andra lämpliga delar också...

  • Avstängd
  • Bangkok Thailand
  • 2013-09-23 12:20
Ursprungligen av mac+:

?Man kan registrera avtryck från andra lämpliga delar också...

Ja men vad har det med mitt inlägg att göra?
Säkert någon lustigkurre som kommer prova med ollonet

  • Medlem
  • ?
  • 2013-09-23 12:26
Ursprungligen av lappen71:

Ja men vad har det med mitt inlägg att göra?
Säkert någon lustigkurre som kommer prova med ollonet

?Kopplingen till ditt inlägg är att det blir ännu säkare att lämna avtryck från något annat än just fingrarna. Själv tänkte jag mig nästippen när jag skrev, men vi är som tur är. –olika.

Ursprungligen av mac+:

?Kopplingen till ditt inlägg är att det blir ännu säkare att lämna avtryck från något annat än just fingrarna. Själv tänkte jag mig nästippen när jag skrev, men vi är som tur är. –olika.

Jag hade en rejäl vårta på ena foten förr. Man kanske skulle låtit bli att frysa bort den.

Ursprungligen av lappen71:

Ja men vad har det med mitt inlägg att göra?
Säkert någon lustigkurre som kommer prova med ollonet

försent... redan gjort:)

Förtydligande: Inte av mig dock:)

  • Medlem
  • ?
  • 2013-09-23 12:36
Ursprungligen av BlackSmp:

försent... redan gjort:)

Förtydligande: Inte av mig dock:)

?Det var snabbt! Någon annan än du redan provat med vad Lappen71 föreslog och det känner du dessutom till.

  • Medlem
  • Stockholm
  • 2013-09-23 12:45

Vad hade hänt om det inte var samma finger som provade avtrycket? Hade det gått? Det är ju vad som är intressant, annars kan det ju bara varit att han lyckats få fast avtrycket rätt bra och att läsaren såg hans riktiga finger istället. Den ska ju använda en mer avancerad metod.

Jag vill ha fler bevis innan jag ropar varg.

Ursprungligen av jac:

Vad hade hänt om det inte var samma finger som provade avtrycket? Hade det gått? Det är ju vad som är intressant, annars kan det ju bara varit att han lyckats få fast avtrycket rätt bra och att läsaren såg hans riktiga finger istället. Den ska ju använda en mer avancerad metod.

Jag vill ha fler bevis innan jag ropar varg.

Jo, vad jag har läst ska det inte gå med ett enkelt avtryck av fingeravtrycket. Fingret måste vara anslutet till dess ägare för att det ska fungera. Tydligen ska det fungera även med tunna handskar och smutsiga fingrar.

Bevaka tråden
PLACE BANNER HERE
PLACE BANNER HERE
PLACE BANNER HERE