Namaakvinger verslaat beveiliging iPhone

Een nagemaakte vingerafdruk kan de beveiliging van de iPhone 5S omzeilen

Duitse hackers zijn erin geslaagd de vingerafdrukbeveiliging van de nieuwe iPhone 5S te omzeilen. Door een foto te maken van een vingerafdruk, die te printen op een transparante folie en het resultaat met vloeibare latex of houtlijm te overgieten, lukte het leden van de Chaos Computer Club (CCC) om Apples nieuwe smartphone te ontgrendelen zonder dat er een echte vinger aan te pas kwam. De truc komt overeen met de manier waarop de CCC in 2007 al de biometrische beveiliging van een supermarktketen voor de gek hield. “Bijna elke sensor waarop we onze namaakmethode uitproberen, kunnen we omzeilen”, zeiden leden van de CCC in 2008 in een artikel in NRC-next.

Apple voegde een vingerafdrukscanner toe aan de deze week geïntroduceerde iPhone 5S. Zo hoeven gebruikers, als ze dat willen, geen wachtwoorden meer te gebruiken om hun telefoon te ontgrendelen of aankopen te doen in de iTunes Store. De afdruk - TouchID noemt Apple het - fungeert als een overkoepelend wachtwoord om toegang te krijgen tot andere inlogcodes.

Het biometrie-team van de CCC waarschuwt dat vingerafdrukken nog niet veilig genoeg zijn om gevoelige gegevens te beschermen. Privacyorganisaties zijn bezorgd over het gebruik van vingerafdrukken; hoewel Apple zegt dat de afdruk alleen op de telefoon bewaard wordt is dat geen garantie tegen hacks of misbruik na diefstal. Met een gestolen vingerafdruk zou iemand je identiteit levenslang kunnen lenen/stelen. Wachtwoorden of pincodes kunnen na misbruik aangepast worden, maar je vingertoppen wijzigen is minder eenvoudig. De Amerikaanse senator Al Franken heeft hierover al vragen gesteld aan Apple.

Googles Android-besturingssysteem kreeg in 2011 biometrische beveiliging via gezichtsherkenning. Dat systeem bleek eenvoudig te omzeilen door een foto van de gebruiker voor het toestel te houden.

De namaakmethode van CCC vergt beduidend meer moeite, al gebruiken ze louter huis-tuin-en-keukenmiddelen voor hun hack. De onderzoekers zeggen dat ze de resolutie van hun nepvingerafdruk moesten verhogen om de iPhone voor de gek te houden.

“Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.”

Uit de eerste tests met de iPhone 5S blijkt dat TouchID overigens ook werkt met andere lichaamsdelen: neuzen, tenen, tepels en zelfs een kattenpoot zouden gebruikt kunnen worden als herkenningsmethode.

Apple heeft zijn besturingssysteem iOS7, dat afgelopen week verscheen, meteen aan moeten passen vanwege beveiligingsfouten. Met een paar trucs bleken afgesloten iPhones en iPads toch te ontgrendelen.