Cisco’s Talos security group har testat fingeravtrycksläsarna i våra vanliga prylar och resultatet kan te sig skrämmande – gruppen lyckades ta sig in i över 80 procent av de testade enheterna. Av det så har en del medier dragit på med de stora svarta rubrikerna och ”slagit larm”. Verkligheten är dock inte riktigt lika enkel och Touch ID och andra lösningar är fortfarande bra lösningar för att skydda enheter, men inte för alla.
Fröleds nu inte till att tro att det är en enkel sak, att det går fort eller att vem som helst klarar att låsa upp en låst telefon som skyddas med ett fingeravtryck. Då detta är en blogg om Apple, Mac så kommer jag att fokusera på iPhone. Det Ciscos team lyckades med var att med hjälp av falska fingeravtryck, skapade med 3D-printer, låsa upp enheter men det var ingalunda enkelt.
Our tests showed that — on average — we achieved an ~80 percent success rate while using the fake fingerprints, where the sensors were bypassed at least once. Reaching this success rate was difficult and tedious work. We found several obstacles and limitations related to scaling and material physical properties. Even so, this level of success rate means that we have a very high probability of unlocking any of the tested devices before it falls back into the pin unlocking. The results show fingerprints are good enough to protect the average person’s privacy if they lose their phone. However, a person that is likely to be targeted by a well-funded and motivated actor should not use fingerprint authentication.
Resurser
Cisco skriver själva i sin rapport att detta inte är något vem som helst klarar av. Det här ingenting som en nyfiken ”scriptkiddie” går i land med och ingenting som utgör ett hot för vanliga användare men det betyder inte att rapporten kan viftas undan eller att den inte visar på ett faktiskt problem. Fingeravtrycksfunktionerna har blivit bättre. Det är svårare att ”lura” en avläsare idag än när Apple lanserade tekniken i iPhone. Samtidigt så har exempelvis 3D-skrivarna också blivit bättre och med stora resurser, stort kunnande så kan enheter låsas upp. Det kräver dock:
- Fysisk access till enheten
- Tillgång till ett bra, tydligt fingeravtryck
- Dyrbar utrustning, 3D-skrivare, silikonformar med mera
Mindre säkra
Så för vilka är fingeravtryck olämpliga eller mindre säkra som skydd då?
De individer som hanterar mycket känslig information, som måste skydda sina telefonsamtal och praktiskt taget all sin kommunikation. Folk som arbetar med hemlig, känslig information, underrättelsetjänsten, politiker med känsliga uppdrag, enskilda inom företag som hanterar affärshemligheter och så vidare, inte vem som helst med andra ord. Det är en liten grupp, sett till det totala antalet användare men för dem så är en iPhone inte ett självklart eller klokt val. De borde istället välja en av de hårt krypterade, specialdesignade telefonerna som finns på marknaden.
För att svara på frågan i rubriken – Touch ID är en säker lösning för de allra flesta. Det är inte en säker lösning för en mycket liten grupp användare som sannolikt inte använder en iPhone i alla fall.
Tillgänglig
Rapporten är tros det en väckarklocka för Apple och andra tillverkare. 3D-skrivarna har blivit allt bättre, scannrar har utvecklats och det betyder att den teknik som idag är dyr, oåtkomlig för de flesta inom en snar framtid kan vara mer allmänt tillgänglig. Därför utvecklar, förfinar och förbättrar Apple Touch ID och Face ID hela tiden. Det gäller att behålla sitt försprång.
0 kommentarer