אצבע בעין של אפל: האקרים פרצו את הכפתור הביומטרי של האייפון 5S

האקרים מגרמניה טוענים שהצליחו לרמות את סורק טביעות האצבע של סמארטפון הדגל החדש של החברה, אייפון 5S, ולעקוף את מנגנוני ההגנה שלו תוך שימוש בטביעת אצבע מזויפת. סורק טביעות האצבע של האייפון החדש הוא אחת התכונות הבולטות במכשיר המדובר. בבדיקת "כלכליסט" התברר שבכל הנוגע לזיהוי טביעת האצבע של המשתמש הסורק עובד בצורה חלקה וגם אינו שוגה ומזהה בטעות טביעות אצבע של אחרים. ואולם, לטענת קבוצת ההאקרים Chaos Computer Club, על הסורק ניתן לעבוד בקלות רבה.

לטענתם, הם הצליחו להונות את הסורק של אפל תוך שימוש בכמה אמצעים שקל מאוד להשיג. “ראשית, טביעת האצבע המבוקשת מצולמת ברזולוציית 2,400dpi”, הם כותבים בבלוג שלהם. “את התמונה שמתקבלת מנקים, הופכים כמו במראה, ומדפסים עם מדפסת לייזר ברזולוציית 1,200dpi על משטח שקוף. לבסוף, מורחים על הדפוס שיצר דיו המדפסת חלב לייטקס ורוד. אחרי שהוא מתקשה, יש להרים את שכבת הלייטקס הדקה מהמשטח, לנשוף עליה כדי ליצור לחות ולהניח על החיישן לפתיחת האייפון".

בסרטון שהפיצה הקבוצה מודגם התהליך אם כי בצורה חלקית בלבד: נראים בו הליך הזנת טביעת האצבע לסמארטפון ולאחר מכן שימוש במה שנטען כי הוא טביעת האצבע המזויפת שהוכנה מראש לפתיחת המכשיר. הליך הצילום של טביעת האצבע ויצירת הטביעה המזויפת לא הודגמו בווידאו.

הפרצה שהדגימה הקבוצה אינה ייחודית לסורק של אפל והודגמה בעבר על סורקי טביעת אצבע אחרים שקיימים בשוק. “למעשה, הסורק של אפל הוא רק בעל רזולוציה גבוהה יותר בהשוואה לסורקים אחרים", מסבירים הפורצים. “אז כל שהיינו צריכים לעשות הוא להגביר את הרזולוציה של הזיוף שלנו. כפי שאנו אומרים זה זמן רב, טביעות אצבע לא צריכות לשמש כאבטחה לשום דבר. אנחנו משאירים אותן בכל מקום וקל מאוד לזייף טביעות אצבע".

החיסרון של התהליך שהודגם הינו הצורך בגישה לטביעת האצבע האמיתית. ואולם, את זו לא קשה יותר מדי להשיג ובמקרים מסוימים ייתכן שכל מה שידרש לתוקף יהיה מסך האייפון עצמו, שמכוסה כדרך קבע בטביעות אצבע.

סכנה לכלי אבטחה ביומטריים - ולמשתמשי המאגר בישראל

העניין הרב באייפון החדש והפריצה שהתגלתה עתידים ליצור עיסוק רב בבעיות האבטחה הביומטרית של המכשיר. אבל יש לקוות שעיסוק זה, לפחות בישראל, לא יתמצא רק באייפון עצמו.

בימים אלו נערך בישראל פיילוט להקמת מאגר ביומטרי, שצפוי לאכסן טביעות אצבע וצילומי פנים של כלל אזרחי ישראל. התומכים בהקמת המאגר מקדמים פעם אחר פעם את הביטחון שהוא מעניק בכל הנוגע לאימות זהויות ומניעת זיופי תעודות. ואולם, כפי שהודגם במקרה זה, לא מן הנמנע שגם את סורקי טביעות האצבע של המאגר ניתן יהיה לרמות בשיטות דומות. ואף שהאייפון מכיל אמנם לא מעט מידע אישי רגיש, הסיכון שבפריצתו אינו משתווה לזה שבזיוף טביעת אצבע של אזרח בהזדהות מול המדינה בהליכים שונים.

הפריצות שנחשפו באייפון 5S יכולות לעורר דיון נרחב בחולשה המובנית של סורקי טביעות אצבע בהם נעשה שימוש על ידי גופים שונים, ואסור שדיון זה יישאר רק ביכולת של גורם זר לעקוף את ההגנות של הגאדג'ט החדש שלנו.