Hackers van de Duitse Chaos Computer Club (CCC) hebben Apple's nieuwe vingerafdrukscanner Touch ID op de iPhone 5S om de tuin geleid met een laagje latex met daarop de vingerafdruk van de 'eigenaar' van de iPhone geëtst. Het origineel was verkregen door een foto te maken van een achtergelaten vingerafdruk op glas.

Nooit vingerafdruk voor security

De hackers hekelen de claims dat Touch ID veiliger zou zijn dan andere vingerscanners. "In werkelijkheid heeft de sensor alleen een hogere resolutie vergeleken met de bestaande scanners. Dus moest de resolutie van de nepafdruk ook wat hoger zijn", aldus hacker 'Starbug'. "Zoals we al jaren zeggen: vingerafdrukken moeten niet gebruikt worden om iets te beveiligen. Je laat ze overal achter en het is veel te simpel om daarvan nepafdrukken te maken."

Demo van latexvinger die Touch ID fopt.

Volgens CCC is het een huis-tuin-en-keuken methode. Er werd een foto van 2400 dpi gemaakt van een achtergelaten vingerafdruk op een glas, en deze werd met 1200 dpi met een laser ingeetst op een plaat, waarover een laagje latex werd gesmeerd. Eenmaal droog kan de latex op een vinger worden gehouden als nepvinger.

"Het is gewoon heel dom om iets dat je niet kunt veranderen en dat je overal achterlaat te gebruiken als security token: aldus Frank Rieger, woordvoerder van de CCC. "Mensen moeten zich niet langer laten misleiden door de biometrische security-industrie met hun valse claims."

Gelatinevinger werkt ook

Eerder dit weekend toonde een onderzoeker al aan dat Touch ID sowieso nepvingers accepteert, in dit geval van gelatine. De fingerprintscanner zag de nepvinger als een menselijk exemplaar en maakt het mogelijk om ermee het toestel te ontgrendelen. Richard Henderson van beveiligingsbedrijf Fortinet toont de werking in een filmpje:

Volgens Henderson kijkt Apple's systeem mogelijk alleen naar piepkleine verschillen in de dikte van de opperhuid en scant het geen onderhuidse patronen. Daardoor is het wellicht ook mogelijk om de vingerafdruk die iemand heeft achtergelaten na te maken op een gelatinevinger om toegang tot diens toestel te krijgen. Henderson gaat die methode verder onderzoeken, al is dat met de demo van CCC reeds duidelijk.

Soortgelijk onderzoek naar het foppen van vingerafdrukscanners met nagemaakte vingerafdrukken is sinds de jaren 90 al meermaals uitgevoerd, onder meer door Nederlandse onderzoekers. Henderson vindt dat Apple eigenlijk twee-factor authenticatie zou moeten aanbieden voor het ontgrendelen van de iPhone: zowel een vingerafdruk als een code. Dat die optie niet in iOS7 zit noemt hij teleurstellend.