Apakah fingerprint reader iPhone baru sudah ter-hack?
Itu mungkin, kata para peneliti keamanan yang mengikuti kontes untuk melihat siapa yang bisa menipu sistem keamanan ini untuk pertama kali, tetapi mereka perlu sedikit lebih banyak bukti.
“Ya” itulah yang ditulis oleh situs http://istouchidhackedyet.com/ pada 23 September, setelah menggantinya dari pesan sebelumnya “Mungkin” yang pertama kali di posting pada 22 September malam.
The Chaos Computer Club di Jerman mungkin melakukannya, kali ini dunia sedang menanti video yang menunjukkan mereka mengangkat sidik jari palsu dan menggunakannya untuk membuka kunci telepon. Jika demikian, maka mereka menang.
Sementara itu, kapitalis ventura Indiana yang berjanji memberikan $10,000 kepada pemenang yang berhasil membobol keamanan dari TouchID ini, tiba-tiba memutuskan bahwa ia akan menetapkan aturan kontes sendiri, yang mengurangi hadiah kontes IsTouchIDHackedYet menjadi sekitar $7,500, ditambah beberapa botol minuman keras.
Menggunakan Cetakan untuk Membobol iPhone 5S
Anggota Chaos Computer Club hacker di Berlin pada 22 September lalu, memposting dua buah video pada YouTube yang tampaknya menunjukkan sidik jari palsu yang dicetak pada lembaran plastik dan digunakan untuk membuka iPhone 5S.
Video pertama https://www.youtube.com/watch?feature=player_embedded&v=HM8b8d8kSNQ menunjukkan seorang pria, mungkin memimpin hacker "Bug Star," mendaftarkan jari telunjuk kanannya dengan ID Touch, kemudian menempel sepotong plastik di jari tengahnya untuk membuka telepon.
Video kedua https://www.youtube.com/watch?feature=player_embedded&v=npR11DOzqRw menunjukkan yang tampaknya orang yang sama mendaftarkan jari telunjuk kanannya, tapi kali ini, pria kedua menggunakan selembar plastik pada jari tangan kanannya sendiri untuk membuka telepon.
Dengan menggunakan jari nyata untuk menerapkan sidik jari palsu, pengguna akan mengalahkan sensor listrik yang dibangun kedalam Touch ID reader yang memastikan jari asli menyentuh ponsel.
“Sebuah sidik jari pengguna ponsel, difoto dari permukaan kaca, sudah cukup untuk membuat jari palsu yang bisa membuka kunci iPhone 5s yang diamankan dengan menggunakan TouchID” kutipan yang diterjemahkan ke dalam bahasa Indonesia di website Chaos Computer Club. "Ini menunjukkan - lagi - bahwa biometrik sidik jari tidak cocok sebagai metode kontrol akses dan harus dihindari."
Klub ini juga memposting detail bagaimana cara membuat sidik jari palsu di sini: http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren?language=en
"Pertama, sidik jari pengguna terdaftar di foto dengan menggunakan resolusi 2400 dpi," kata ringkasan dari instruksi. "Hasil dari gambar dibersihkan dan dibalik dan dicetak dengan laser print dengan 1200 dpi ke dalam lembar transparan dengan pengaturan toner yang tebal.
Video yang dihasilkan hampir berhasil, tapi tidak cukup untuk memenuhi persyaratan dari kontes IsTouchIDHackedYet.com.
“Mereka mengatakan mereka menggunakan sidik jari cetak, yang masih kehilangan sedikit persyaratan untuk memenangkan kontes ini”. kata kontes organizer Robert David Graham, co-founder dan chief technology officer dari Errata Security di Atlanta.
Penarikan dana
Tidak termasuk dalam total $10,000 yang awalnya dijanjikan oleh Bloomington, Ind. investor berbasis Arturas Rosenbacher, prinsipal dari I/O Capital Partners.
Setelah diduga mengatakan kepada beberapa organisasi berita pada hari Jum’at yang lalu bahwa diduga ia adalah salah satu penyelenggara kontes dan ternyata tidak, Rosenbacher akhir pekan lalu memutuskan bahwa kontes itu bukan untuknya.
Penulis ZDNet Violet Blue mencatat bahwa Rosenbacher telah memberikan wawancara kepada CNBC, Bloomberg TV, London Telegraph dan outlet lain di mana ia tampaknya berbicara untuk penyelenggara kontes.
“Dengan memiliki kompetisi seperti ini kita hanya membuat perangkat lunak yang lebih aman, dan kita hanya membuat hardware yang jauh lebih sulit untuk ditembus” kata Rosenbacher.
Itulah Salah Satu Cara untuk Menggunakan TouchID
Penyelenggara kontes IsTouchIDHackedYet mengkonfirmasi pada tanggal 23 September 2:30 ET bahwa metode ditunjukkan di YouTube dengan Starbug dari Chaos Computer Club memang bekerja. Starbug akan menerima hadiah kemenangan. "Kami tidak memiliki persis video yang kami inginkan darinya, tetapi yang lain telah menegaskan hal itu," tulis penyelenggara kontes Robert David Graham di situs IsTouchIDHackedYet.com. "Kami berada dalam kontak dengan Starbug - dia bekerja pada video untuk kita.”
Graham menulis bahwa Starbug akan menyumbangkan kemenangan untuk Raumfahrtagentur ("Agency Space Travel") di Berlin.
Orang lain yang juga mencoba cara dari Starbug adalah termasuk hacker legendaris Peiter "Mudge" Zatko, seorang pendiri dari 1990s L0pht hacker collective di Boston, former research official di Defense Applied Projects Research Agency Pentagon dan saat ini menjabat sebagai pegawai Google, dan Marc Rogers, seorang peneliti keamanan di Lookout Mobile Security di San Francisco.
https://www.youtube.com/watch?feature=player_embedded&v=U7s2Cp8hdr8
https://www.youtube.com/watch?feature=player_embedded&v=jyxjxR17qk4
