Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone
září 18
Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

Teďka jsem si všiml, že iPhone 5S má zajímavou, vcelku nenápadnou vlastnost - sklo má speciální protitukovou úpravu (říká se tomu odborně oleofóbní povrch). Nejdřív jsem si říkal, že to je blbina pro jedince, co používají mobil jako podtácek a svačí na něm párek, nebo pro řezníky, když jim mobil při zabijačce spadne do prejtu. Já osobně mám mobil v Jankově ponožce, takže se mě utírá při každém použití. Jako souhlasím, jsou i podstatně vznešenější důvody - třeba grýnpís, když iPhonem pádlují na člunu přes ropnout skrvnu apod.

Ale pak mě došlo, proč to tak je.

Čtečka otisků prstů (výrobce authentec), kterou ten mobil má na hlavním tlačítku, je ve skutečnosti jenom foťák. Je to stejné, jako máte na mnoha noteboocích. Prostě se sejme normální fotka (na notebooku musíte přejet, takže se to fotí po kouscích) a je to. Samozřejmě prd ochrana. Stačí si vytisknout otisk na papír a přiložit, nebo přejet, v případě notebooku.

Jenže na notebooku přejíždíte. Na iPhone nepřejíždíte. Tam jen přikládáte, nebo mačkáte. A tudíž tam necháváte otisky. Na notebooku není co nechat, protože se to přejetím rozmaže, zatímco telefon je plný vašich otisků.

Najdete mobil, máte po ruce prášek, posypete tlačítko, přelepíte páskou a jste přihlášení. Tradá!

Takže by mě zajímalo, jak moc oleofóbní to doopravdy je. Předpokládám, že se to po pár použitích odře a juchů, tzv. ochrana je v háji.

Znovu taky připomínám, jak Mythbusters testovali skutečně profesionální čtečku otisků a jak to dopadlo (najděte klidně i video - mythbusters, season 2006, episode 59, Fingerprint lock).

Comments

BUSTED

Tom on 18.9.2013 10:01

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

jupi, diky, z vlaku jsem to nemohl hledat :-) diky!
ondass on 18.9.2013 10:33

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

1. Oleofobní povrch má určitě už iPhone 4S, možná i 4, se snímačem otisků to nesouvisí.

2. Pokud vím, tak iPhone nepoužívá pro snímání otisků prstů optický sensor. Je tedy otázka, za z toho sensoru vůbec půjdou dostat data, srovnatelná s tím, co scanuje DoHS na hranicích (to je reakce na Váš další článek).

3. Otisky prstů zanecháváte v podstatě permanentně i na místech, ke kterým se případný protivník dostane podstatně snadněji než k telefonu, který taháte v kapse. Klávesnice, kliky od domu i od auta, nádobí...

4. Mythbusters testovali čtečku v roce 2006. Dnes máme druhou polovinu roku 2013.

5. Opravdu myslíte, že nikoho u Apple nenapadlo, že spousta lidí se začne tu čtečku pokoušet ošálit hned po uvedení? Je docela možné, že časem se nějaká slabina najde, ale řekl bych, že si dali sakra velký pozor, aby to nebylo oblbnutelné nějakým dnes více známým způsobem.
JJ on 19.9.2013 14:05

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

no já si opravdu myslím, že oblbnout čtečku otisků je jednoduché, ale to nebylo ani smyslem tohohle přízpěvku. smyslem bylo zamyslet se, jestli nelze sejmou otisk přímo z mobilu. a moje čtyřka je mastná úplně hrozně, tak mě ta oleoodpudivost zaujala :-)

otisky člověk sice nechává kdekoliv, ale bez přístupu k telefonu je to na nic. takže tohle není stejně attack vektor, to bych se nebál. proto ani není důležité zkoumat "kvalitu čtečky". protože mít něčí otisky je bez vlastnictví telefonu na nic.

jinak co se týče bezpečnostni čteček otisků, tak silně pochybuju.

čtečka může tak maximálně skenovat obrázek a případně k tomu navíc ověřovat, jestli je to teplé, vlhké, má to správnou kapacitu a/nebo odpor a nebo jestli je v tom pulz. nevídím důvod, proč by tohle všechno nemohlo jít dosáhnout při nejhorším se silikonovým návlekem na vlastním prstě a nátěru správnými "tělovými gely" se správným odporem a kapacitou.
ondass on 19.9.2013 14:31

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

ještě jsem se taky zamyslel nad tím porovnáváním skenů z iPhone a z DoHS:

- otisky se ověřují deterministicky podle vzoru čar na prstě (jedno jestli optický vzor, nebo elektrický)
- nevím o tom, že by se do toho přidávalo cokoliv dalšího, právě třeba odpor nebo kapacita daného člověka - je možné že ano - ale tohle je podle mě véélmi časově proměnné a není na to tedy možno spoléhat.
- z toho by plynulo, že z obrázku čas se jednosměrnou funkcí vygeneruje vždycky stejná "charakteristická hodnota", podle zachycených čar
- je tedy podle mě jedno, jestli se ta hodnota generuje z obrázku optického, nebo elektrického opdorového, kapacitního nebo jiného.
- pokud mám obrázek optický, tak to jistě už nějak převedu na obrázek kapacitní, nebo odporový. tahle funkce má podle mě jen jednu proměnnou - nějakou konstantu, která je pro celý prst stejná - a tím pádem to není výpočetně složité natolik, aby, pokud jsem DoHS a mám plný optický obrázek, bych mohl spárovat "charakteristickou hodnotu" obrázku elektrického.
- dále je samozřejmě otázka, proč by DHS nemělo i další formy obrázků, pakliže by to byla běžně známá a ověřená technologie.
ondass on 19.9.2013 16:00

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

Taky nevěřím na neochcatelnost snímačů otisků...
Není otázka jestli, ale kdy to na ajfounu někdo oblbne.
Borek on 21.9.2013 23:47

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

Borek on 23.9.2013 13:48

Re: Další zamyšlení nad bezpečností čtečky otisků prstů na nových iPhone

tak :-)

takže se opět vracíme k původní otázce tohoto přízpěvku - nelze ty otisky náhodou získat přímo z mobilu?
ondass on 23.9.2013 14:37

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments