Video mostra come violare Touch ID, il 'banale' attacco che ha richiesto 30 ore

Video mostra come violare Touch ID, il 'banale' attacco che ha richiesto 30 ore

Un video apparso su internet mostra il processo da eseguire per violare il nuovo sensore biometrico per la scansione delle impronte digitali

di Nino Grasso pubblicata il , alle 09:41 nel canale Apple
 

Pochi giorni fa avevamo riportato la notizia della violazione di Touch ID, che aveva richiesto solamente pochi giorni per essere aggirato.Tramite il video realizzato dallo stesso hacker a riportare la notizia, Starbug, scopriamo che il processo per aggirare il sensore biometrico per la scansione delle impronte digitali ha richiesto circa 30 ore di studi.

iPhone 5S Touch ID

Starbug aveva inizialmente definito "molto semplice e banale" aggirare il nuovo Touch ID di iPhone 5S, spiegando in seguito in un'intervista presso arsTechnica che per perfezionare la procedura sono necessari 30 minuti di lavoro utilizzando uno scanner, una stampante a laser ad alta definizione e strumenti per l'incisione dei circuiti stampati.

"Da quando ho tolto l'iPhone 5S dalla scatola sono passate circa 30 ore prima che il metodo funzionasse correttamente. Con una preparazione migliore avrei impiegato approssimativamente mezz'ora", ha dichiarato Starbug durante l'intervista. "Ho trascorso parecchio più tempo cercando di trovare informazioni sulle specifiche tecniche del sensore che per trovare un metodo per aggirarlo."

L'hacker mostra il proprio disappunto, dal momento che in base alle affermazioni di Apple in fase di presentazione si sarebbe aspettato che fossero necessari metodi più complessi per bypassare la nuova tecnologia. Utilizzando una strumentazione di qualità più elevata, Starbug è riuscito ad aggirare i metodi di sicurezza di Apple con una procedura simile a quella utilizzata in precedenza con altri sensori di scansione biometrica presenti sul mercato.

In precedenza è stato consigliato di disabilitare la feature perché di fatto inutile, ma quanto è vera questa affermazione? Probabilmente l'utente generico di iPhone 5S non ha motivi per cui preoccuparsi. L'operazione non è indubbiamente così complessa, ma è abbastanza difficile che un comune ladro di iPhone abbia tutta la strumentazione e le abilità necessarie per portarla a compimento.

È un processo che ha bisogno di un grosso ammontare di tempo, abilità e strumentazione e sorge spontanea la domanda: "Per un ladro vale la pena perdere tutto questo tempo per recuperare i dati sul tuo iPhone?" La risposta per la maggior parte degli utenti probabilmente è un secco no.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

60 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
checo26 Settembre 2013, 09:47 #1
alla fine mica dimostra che è inutile, per l'utenza media è sicuro.
dimostra solo che è un sensore di impronte come gli altri, forse più veloce ma nulla di magico.
sertopica26 Settembre 2013, 10:07 #2
il classico giocattolino che fa tanto cool ma che a conti fatti non dà alcuna sicurezza.
trias26 Settembre 2013, 10:14 #3
Originariamente inviato da: checo
alla fine mica dimostra che è inutile, per l'utenza media è sicuro.
dimostra solo che è un sensore di impronte come gli altri, forse più veloce ma nulla di magico.


piu' che inutile è pericoloso!

La questione è che la tua impronta è registrata nel dispositivo.
A questo punto chi mi assicura che questi dati sono al sicuro e non saranno mai accessibili a nessuno?
lockheed26 Settembre 2013, 10:16 #4
Originariamente inviato da: sertopica
il classico giocattolino che fa tanto cool ma che a conti fatti non dà alcuna sicurezza.


Bè in effetti metterci 30 ore per capire come aggirarlo(è risaputo che chi si è messo a perdere tempo dietro una cosa del genere detesta quel tipo di sensori) non dà alcuna sicurezza che qualcuno riesca a sbloccare il tuo iphone e si metta a guardare 4 foto che hai dentro.

Una volta che lo ha sbloccato poi scopre che
-Trova il mio iphone non lo può sbloccare (quindi non gli resta che spegnere il telefono se non vuole rischiare grane con la giustizia...:asd
-Non può accedere alle password salvate nei vari programmi tipo 1password

Insomma...un povero pirla deve procurarsi l'impronta del proprietario,mettere in piedi tutto quel casino senza avere la certezza del risultato solo per sbloccare un iphone 5S?
Ammazza....E' davvero insicuro sto sensore...

Originariamente inviato da: trias
piu' che inutile è pericoloso!

La questione è che la tua impronta è registrata nel dispositivo.
A questo punto chi mi assicura che questi dati sono al sicuro e non saranno mai accessibili a nessuno?


Se hai fatto il servizio di leva la tua impronta c'è l'hanno già.
Se vai in America te la prendono.
Se fai la nuova C.I elettronica idem.
Per quanto ne so,le impronte sono registrate nel soc del dispositivo,negli altri casi citati invece le hanno sicuramente cani e porci...
DVD200526 Settembre 2013, 10:22 #5
visto il video......già che gli rubi il telefono, fai prima a tagliarlgi anche il dito
viscm26 Settembre 2013, 10:24 #6
Originariamente inviato da: lockheed
Bè in effetti metterci 30 ore per capire come aggirarlo(è risaputo che chi si è messo a perdere tempo dietro una cosa del genere detesta quel tipo di sensori) non dà alcuna sicurezza che qualcuno riesca a sbloccare il tuo iphone e si metta a guardare 4 foto che hai dentro.
[cut]
Insomma...un povero pirla deve procurarsi l'impronta del proprietario,mettere in piedi tutto quel casino senza avere la certezza del risultato solo per sbloccare un iphone 5S?
Ammazza....E' davvero insicuro sto sensore...


Veramente se leggi bene l'articolo, c'e' scritto che ci ha messo 30 ore xchè si aspettava un sistema molto complesso e quindi ha perso tempo a cercare e studiare il dispositivo.

Altrimenti ci avrebbe messo MEZZ'ORA.

Cmq il doversi ricordare una password di meno già rende utile la feature, anche se questo rende virtualmente inutilizzabile il telefono x moglie, amici genitori figli ecc ecc
kesy8526 Settembre 2013, 10:31 #7
Scusate, ma se il tizio di CCC ha dichiarato di aver studiato il sensore 30 ore e di averlo violato in circa mezz'ora, dopo di che ha pubblicato un video su come farlo, chiunque voglia rifare l'operazione ci metterà mezz'ora minuto più minuto meno mica 30 ore...

Ovvio che per proteggere le nostre 3 foto e 4 messaggi è già più che sufficiente, ma come deterrente per i furti non mi pare proprio efficace:

- il ladro può essere uno sviluppatore di app farlocche da 1000€ passa il dito falso e ti ha rubato 1000€ oltre ad un iphone (ripetere l'operazione fino a limite della carta di credito per spennare qualcuno e qui la sicurezza dell'impronta è decisamente inferiore a quella di una password)
- il ladro cerca di togliere find my iphone e ripristinare il telefono, se ce la fa bene, altrimenti ha comunque in mano 3-400 € di pezzi di ricambio
- può tenere il telefono spento in un cassetto e aspettare 1-2 mesi, quando il jailbreak sarà uscito ci sarà un metodo per ripristinare senza spegnere find my iphone (nella mia esperienza se devo ripristinare un iphone è perchè non va, non posso accenderlo per spegnere find my iphone quindi qualcuno troverà un metodo per sbloccarlo forzatamente)
Duncan26 Settembre 2013, 10:49 #8
Originariamente inviato da: checo
alla fine mica dimostra che è inutile, per l'utenza media è sicuro.
dimostra solo che è un sensore di impronte come gli altri, forse più veloce ma nulla di magico.


Originariamente inviato da: sertopica
il classico giocattolino che fa tanto cool ma che a conti fatti non dà alcuna sicurezza.



Originariamente inviato da: trias
piu' che inutile è pericoloso!

La questione è che la tua impronta è registrata nel dispositivo.
A questo punto chi mi assicura che questi dati sono al sicuro e non saranno mai accessibili a nessuno?


Di magico ha che funziona bene, senza problemi, poi logicamente è prono ai medesimi attacchi di ogni altro sensore biometrico in commercio, la tecnologia è quella, ma rispetto alla minaccia da cui ci si vuole proteggere è sufficente (tipo mi fregano il cellulare al bar, qualcuno vuol accedere al contenuto del dispositivo)

Cerchiamo di contestualizzare, meno 1% delle perne hanno necessità di un livello di sicurezza da agente segreto e se ne hanno la necessità sicuramente sanno che il ThouchID non è sufficente

Sul problema delle impronte dove sono immagazzinate è vero, vedremo come sapremo affrontare la cosa, il problema non è solo il thouchID, ma tutto quello che gira intorno ai dispositivi elettronici connessi ad internet.
lockheed26 Settembre 2013, 11:00 #9
Originariamente inviato da: viscm
Veramente se leggi bene l'articolo, c'e' scritto che ci ha messo 30 ore xchè si aspettava un sistema molto complesso e quindi ha perso tempo a cercare e studiare il dispositivo.

Altrimenti ci avrebbe messo MEZZ'ORA.


No,ci avrebbe messo il tempo che ci ha messo + MEZZ'ORA!
Se io vengo a casa tua e ci metto un mese a trovare la combinazione della tua cassaforte (che magari hai dimenticato) e che poi TU aprirai in 10 secondi,non possiamo di certo dire di averla aperta in 10 secondi....




Originariamente inviato da: kesy85
Scusate, ma se il tizio di CCC ha dichiarato di aver studiato il sensore 30 ore e di averlo violato in circa mezz'ora, dopo di che ha pubblicato un video su come farlo, chiunque voglia rifare l'operazione ci metterà mezz'ora minuto più minuto meno mica 30 ore...


Bhè allora non ti resta che provare!
Dunque vediamo...Devi procurarti la mia impronta(il tizio ha usato la sua o quella dell'amico),il mio telefono e poi mettere in moto tutto il procedimento che ha fatto lui sperando che alla fine non cappelli qualcosa e che tutto funzioni.
Direi che nel tempo che probabilmente ci metterai io faccio prima a vincere al superenalotto....
san80d26 Settembre 2013, 11:02 #10
da quello che ho capito tanto semplice da violare non mi sembra

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^