Jan Krissler används för högupplösta bilder, bland annat en från en regering tryck på office, för att framgångsrikt återskapa fingeravtryck av Tysklands försvarsminister
@alexhern
Tis 30 Dec 2014 11.43 GMT
Senast ändrad Tis 21 Feb 2017 18.17 GMT
Denna artikel är över 3 år gamla
Hackaren som används för kommersiell
Foto: A. T. Willett / Alamy/Alamy
Det är en gammal kliché av säkerhet forskare: fingeravtryck kan framstå som mer säker än lösenord. Men om ditt lösenord blir stulen, kan du ändra den till en ny en, vad som händer när ditt fingeravtryck får kopieras?
Det är inte längre en abstrakt rädsla: en högtalare på Chaos Communication Congress, ett årligt möte för hackare i Tyskland, visade sin metod för att fejka fingeravtryck med hjälp av bara några high-definition fotografier av hans mål, tyska försvarsministern Ursula von der Leyen.
Tysk försvarsminister Ursula von der Leyen Foto: Hannibal Hanschke/tt-Reuters
Jan Krissler, känd i hacker-kretsar som Starbug, som används för kommersiell programvara som kallas VeriFinger och flera nära-rad foton av von der Leyen, inklusive en som samlats in från ett pressmeddelande från sitt eget kontor och en annan tog han sig själv från tre meter bort, för att bakåtkompilera fingeravtryck.
“Efter detta tal, politiker antagligen kommer att bära handskar när man talar offentligt”, skämtade han.
Även redovisas på konferensen var en annan säkerhet hål till synes rakt ut av science-fiction: en så kallad “hornhinnans keylogger”. Tanken bakom attacken är enkel. En hackare kan få tillgång till en användares telefon kamera, men inte något annat. Hur ska man gå från det till att stjäla all deras lösenord?
Ett sätt, visat på scenen, är att läsa vad de skriver genom att analysera fotografier av reflektioner i deras ögon. Smartphone-kameror, även på framsidan och kära, är nu hög upplösning nog för att ett sådant angrepp är möjligt.
Starbug är inte främmande för att ta på biometriska säkerhetslösningar. I en hög profil stunt under 2013, att han förfalskat Apples TouchID sensorer inom 24 timmar efter lanseringen av iPhone 5S. Med hjälp av en fläck på skärmen på en iPhone, han tryckt en dummy finger med trälim och prutbara grafen, som framgångsrikt olåst telefon är registrerad till någon annan tumme.
För att hacka, han var tvungen att ha fysisk tillgång till telefonen han stal fingeravtryck från, i syfte att få en hög upplösning genomsökning av print. Hans senaste demonstration tyder på att det kan vara möjligt att låsa upp en telefon med ett fingeravtryck stulen utan att någonsin röra vid en person eller sin egendom – även om det faktiskt är att få tag på telefonen är fortfarande behövs för det sista steget, att faktiskt låsa upp det.
Det ökande antalet framgångsrika attacker mot biometrisk identifiering har lett till en viss säkerhet forskare ge råd som människor att ändra det sätt de tycker om säkerhetsåtgärder såsom fingeravtryck och foto-ID. Snarare än att behandla dem som en ersättning för lösenord, de bör istället användas som en andra faktor autentisering, eller ens som något som liknar ett användarnamn: ett allmänt känt bit av information som ska kopplas till ett lösenord innan en användare kan logga in.
Som ACLU Jay Stanley berättade för Washington Post, “Biometri är inte hemligheter… Helst, de är unika för varje individ, men det är inte samma sak som att vara en hemlighet.”
Och Starbug håller, säger Zeit under 2013 att “jag anser att mitt lösenord säkrare än mina fingeravtryck… Mitt lösenord är i mitt huvud, och om jag är försiktig när du skriver, jag är fortfarande den enda som vet det.”
- iPhone 5S fingeravtrycksläsare hackad av Tysklands Chaos Computer Club
Denna artikel innehåller affiliate-länkar, vilket innebär att vi kan tjäna en liten provision om en läsare klickar igenom och gör ett köp. Alla våra journalistik är oberoende och är inte på något sätt påverkas av någon annonsör eller kommersiella initiativ.
De länkar som drivs av Skimlinks. Genom att klicka på en affiliate länk, accepterar du att Skimlinks cookies kommer att ställas in. För mer information.