Kiedy firma Apple pokazała Touch ID - czytnik linii papilarnych w iPhone 5s - wszyscy zachwycali się tym, jak wygodna i bezpieczna jest nowa metoda uwierzytelniania. Niełatwo jest przecież podrobić odcisk palca, który oszukałby tę technologię, prawda?

Niestety hakerzy z grupy Chaos Computer Club (CCC) postanowili udowodnić, że to zabezpieczenie da się złamać i to przy użyciu środków dostępnych dla każdego. Można dyskutować o tym, czy zaprezentowana przez hakerów metoda jest prosta czy łatwa do realizacji, ale wystarczy do niej ogólnodostępny sprzęt i niedrogie materiały.

Jak zrobić odcisk palca?

Mówiąc najprościej, hakerzy:

• sfotografowali odcisk palca pozostawiony na szkle (wcześniej poprawiając jego widoczność przy użyciu pyłu grafitowego);
• cyfrowo "oczyścili" jego obraz;
• wydrukowali odcisk na przezroczystej folii w wysokiej rozdzielczości, dzięki czemu toner stworzył coś w rodzaju formy drukarskiej;
• pokryli folię klejem (może to być mleczko lateksowe), który uformował się w sztuczny odcisk palca i dał się zdjąć z folii.

W tym opisie pominęliśmy pewne techniczne drobiazgi, ale macie wyobrażenie całej metody. Jeśli ktoś z was chciałby zrobić coś podobnego w domu, znajdzie dokładną instrukcję na stronie Chaos Computer Club.

To wszystko wystarczyło, aby stworzyć sztuczny odcisk palca do oszukania Touch ID. Film poniżej pokazuje, że metoda jest skuteczna, także gdy z urządzenia korzysta osoba inna niż właściciel urządzenia.

Touch ID nie jest idealne

Czy to oznacza, że Touch ID do niczego już się nie nadaje? Otóż nie. Po pierwsze, metoda zaprezentowana przez hakerów musi być jeszcze dokładniej zbadana.

Po drugie, nie każdy może dotrzeć do naszych odcisków palców i nie każdy będzie chciał się bawić w ich podrabianie. Bazując na tych założeniach, możemy uznać Touch ID za względnie bezpieczne.

Nie możemy natomiast uważać Touch ID za metodę idealną. Hakerzy z grupy CCC w ogóle są zdania, że odciski palca nie powinny służyć jako metoda autoryzacji, gdyż zostawiamy je wszędzie i nie możemy ich zmienić. 

- Opinia publiczna nie powinna być oszukiwana przez przemysł biometryczny fałszywymi twierdzeniami o bezpieczeństwie. Biometria jest technologią zaprojektowaną do ucisku i kontrolowania, nie do zabezpieczenia urządzeń używanych na co dzień - stwierdził Frank Rieger, rzecznik CCC.

Marketing vs bezpieczeństwo

Apple jest teraz w nieciekawej sytuacji. Skuteczność Touch ID jako metody zabezpieczeń będzie odtąd podważana, natomiast zastrzeżenia co do wpływu tej metody na naszą prywatność pozostaną żywe. W USA senator Al Franken zwrócił już uwagę na to, że na urządzeniach Apple znajdą się informacje o odciskach palców. Apple odpowiedziała, że nie przechowuje obrazów odcisków, ale tylko ich matematyczną reprezentację.

Niezależnie od tego powinniśmy sobie uświadomić, że istnieje różnica między marketingiem a faktycznym poziomem bezpieczeństwa. Jeśli szef Apple lub jakiejkolwiek innej firmy zachwala skuteczność nowych zabezpieczeń, trzeba podchodzić do tego z rezerwą. Przecież nikt w reklamie lub w czasie prezentacji produktu nie powie "no wiecie, to, co chcemy wam sprzedać, jest tylko częściowo bezpieczne".

Czytaj także: NSA może szpiegować użytkowników iPhone i BlackBerry? No to politycy mają problem