[youtube]http://youtu.be/0mmDcq-2Fos[/youtube]
Vi vet redan att systemet Rör ID al iPhone 5S kan luras av personer med erfarenhet av att förfalska fingeravtryck, och en videohandledning publiceras under den sista natten på internet detaljer hela proceduren. I grund och botten behöver du 1000$-utrustning för att bearbeta och skapa fingeravtrycket, men även om du gör detta finns det en chans att systemet inte känner igen det. Dessutom måste den som försöker lura systemet ha rätt fingeravtryck registrerat i Rör ID, måste den vara komplett, annars kommer systemet att avvisa den och kommer inte att göra upplåsningen.
Jag blev mycket besviken, eftersom jag hoppades kunna hacka på den i en vecka eller två. Det fanns ingen utmaning alls; attacken var väldigt enkel och trivial. Touch ID är ändå ett mycket pålitligt fingeravtryckssystem. Användare bör dock bara betrakta det som en ökad bekvämlighet och inte säkerhet. Men verkligheten är att dessa brister inte är något som genomsnittskonsumenten bör oroa sig för. Varför? För att utnyttja dem var allt annat än trivialt. Att hacka TouchID förlitar sig på en kombination av färdigheter, befintlig akademisk forskning och tålamodet hos en Crime Scene Technician.
Även om de som lurade systemet lyckades göra det på bara 30 timmar, och skaparen av videoklippet ovan var förvånad över den hastighet med vilken han uppnådde allt, är förfarandet inte enkelt och enligt vissa, kompetensen hos en kriminell expert behövs för att klara allt. De största problemen är relaterade till avtryckslyftprocessen som måste göras med hjälp av: ett vidhäftande ämne som kallas cyanoakrylatånga, avtryckslyftpulver eller självhäftande tejp för avtryckslyft. Efter upptagning ska fingeravtrycket fotograferas, redigeras och skrivas ut på en transparent film som sedan omvandlas till ett användbart fingeravtryck med hjälp av en laserskrivare.
Praktiskt taget är en attack fortfarande lite i sfären av en John le Carré-roman. Det är verkligen inte något som din vanliga gatutjuv skulle kunna göra, och även då måste de ha tur. Glöm inte att du bara får fem försök innan TouchID avvisar alla fingeravtryck som kräver en PIN-kod för att låsa upp den. Men låt oss vara tydliga, TouchID är osannolikt att motstå en riktad attack. En dedikerad angripare med tid och resurser för att observera sitt offer och samla in data, kommer förmodligen inte att se TouchID så mycket av en utmaning. Lyckligtvis är detta inte ett hot som många av oss står inför.
Denna extremt komplicerade procedur och det faktum att Apple använder fingeravtrycksläsaren för att spela in en högupplöst bild av de subepidermala skikten av fingret kommer att avskräcka många från att försöka lura Touch ID, men även ett falskt fingeravtryck, korrekt upphöjt, kan vara avvisade.
