אצבע בעין של אפל: האקרים פרצו את הכפתור הביומטרי של האייפון 5S
קבוצת האקרים מגרמניה טענה שצליחה להטעות את הכפתור בעזרת שילוב בין תמונת טביעת האצבע, מדפסת משרדית ויריעת לייטקס. בשיטה זו ניתן לגנוב טביעת אצבע בקלות, ויתכן שגם להטעות את סורקי המאגר הביומטרי הישראלי
קראו עוד בכלכליסט
בסרטון שהפיצה הקבוצה מודגם התהליך אם כי בצורה חלקית בלבד: נראים בו הליך הזנת טביעת האצבע לסמארטפון ולאחר מכן שימוש במה שנטען כי הוא טביעת האצבע המזויפת שהוכנה מראש לפתיחת המכשיר. הליך הצילום של טביעת האצבע ויצירת הטביעה המזויפת לא הודגמו בווידאו.
הפרצה שהדגימה הקבוצה אינה ייחודית לסורק של אפל והודגמה בעבר על סורקי טביעת אצבע אחרים שקיימים בשוק. “למעשה, הסורק של אפל הוא רק בעל רזולוציה גבוהה יותר בהשוואה לסורקים אחרים", מסבירים הפורצים. “אז כל שהיינו צריכים לעשות הוא להגביר את הרזולוציה של הזיוף שלנו. כפי שאנו אומרים זה זמן רב, טביעות אצבע לא צריכות לשמש כאבטחה לשום דבר. אנחנו משאירים אותן בכל מקום וקל מאוד לזייף טביעות אצבע".
החיסרון של התהליך שהודגם הינו הצורך בגישה לטביעת האצבע האמיתית. ואולם, את זו לא קשה יותר מדי להשיג ובמקרים מסוימים ייתכן שכל מה שידרש לתוקף יהיה מסך האייפון עצמו, שמכוסה כדרך קבע בטביעות אצבע.
סכנה לכלי אבטחה ביומטריים - ולמשתמשי המאגר בישראל
העניין הרב באייפון החדש והפריצה שהתגלתה עתידים ליצור עיסוק רב בבעיות האבטחה הביומטרית של המכשיר. אבל יש לקוות שעיסוק זה, לפחות בישראל, לא יתמצא רק באייפון עצמו.
בימים אלו נערך בישראל פיילוט להקמת מאגר ביומטרי, שצפוי לאכסן טביעות אצבע וצילומי פנים של כלל אזרחי ישראל. התומכים בהקמת המאגר מקדמים פעם אחר פעם את הביטחון שהוא מעניק בכל הנוגע לאימות זהויות ומניעת זיופי תעודות. ואולם, כפי שהודגם במקרה זה, לא מן הנמנע שגם את סורקי טביעות האצבע של המאגר ניתן יהיה לרמות בשיטות דומות. ואף שהאייפון מכיל אמנם לא מעט מידע אישי רגיש, הסיכון שבפריצתו אינו משתווה לזה שבזיוף טביעת אצבע של אזרח בהזדהות מול המדינה בהליכים שונים. הפריצות שנחשפו באייפון 5S יכולות לעורר דיון נרחב בחולשה המובנית של סורקי טביעות אצבע בהם נעשה שימוש על ידי גופים שונים, ואסור שדיון זה יישאר רק ביכולת של גורם זר לעקוף את ההגנות של הגאדג'ט החדש שלנו.
13 תגובות לכתיבת תגובה