Beveiliging iPhone 5S gekraakt

AMSTERDAM - Duitse hackers zijn erin geslaagd de vingerafdrukbeveiliging op Apples iPhone 5S te omzeilen. Volgens de Chaos Computer Club, een van de meest vooraanstaande hackersverbanden ter wereld, toont hun experiment aan dat vingerafdrukherkenning onbruikbaar is als methode om geheimen af te schermen.


Apple heeft nog niet officieel gereageerd. De Amerikaanse elektronicamaker heeft sinds vrijdag 9 miljoen exemplaren verkocht van het nieuwe top model 5S en van de iPhone 5C, die in elf landen te koop zijn.


Apple prees twee weken geleden de vingerafdrukbeveiliging aan als de voornaamste innovatie in de iPhone 5S. Het bedrijf heeft de technologie, die het Touch ID heeft gedoopt, geïntegreerd in de thuisknop. Daarin zijn een saffierkristal aangebracht en een drukgevoelige aanraaksensor, die een hogeresolutieopname maken van een vingerafdruk.


Een lid van de Chaos Computer Club (CCC) omzeilde de beveiliging door een vingerafdruk van de eigenaar van de telefoon op een fles zichtbaar te maken met een poeder, de vingerafdruk te fotograferen en daarvan een reliëfafdruk te maken op een transparant stuk folie. Deze 'kunsthuid' werd op een echte vinger gedaan en op de sensor van de iPhone 5S gelegd.


Beveiligingsspecialisten lieten na Apples aankondiging al de waarschuwing horen dat het niet moeilijk is een vingerafdruk na te bootsen en zo de biometrische beveiliging om de tuin te leiden. 'Je kunt vingerafdrukken voor oppervlakkige beveiliging prima gebruiken op een toestel. Je moet er níét op vertrouwen als je gevoelige informatie wilt afschermen', zegt de Britse deskundige Graham Cluley.


'Elke biometrische beveiliging kan worden gekraakt', stelt de vooraanstaande Amerikaanse veiligheidsanalist Bruce Schneier. 'Maar als iemand je vingerafdruk én je iPhone heeft, heb je vermoedelijk méér om je zorgen over te maken.'


De CCC heeft in het verleden al eens aangetoond dat vingerafdrukken eenvoudig na te maken zijn. In 2008 publiceerden de hackers de vingerafdruk van Wolfgang Schäuble, de Duitse minister van Binnenlandse Zaken. Dat gebeurde uit protest tegen plannen om vingerafdrukken op te nemen in het paspoort.


'Vingerafdrukken laat je overal op achter en ze zijn eenvoudig na te maken', stelt hacker 'Starbug' van de CCC. De methode die Apple gebruikt is niet nieuw. Alleen gebruikt Touch ID in de iPhone een hogere resolutie dan eerdere sensors. 'Het enige dat we hoefden te doen is de resolutie van onze namaakafdruk te verhogen.'


Vorige week werd een beloning van 16 duizend euro uitgeloofd voor degene die de vingerafdrukherkenning zou weten te omzeilen.


Vier biometrische methoden om iemand te kunnen herkennen

VINGERAFDRUK Het lijnenpatroon op elke vinger is uniek. Er zijn nog nooit twee personen gevonden met dezelfde vingerafdruk. Vingerafdrukherkenning wordt al twee eeuwen toegepast om individuen te herkennen. Een Argentijnse moeder van twee vermoorde kinderen was in 1879 de eerste verdachte die door een bebloede vingerafdruk als de dader werd aangewezen. Sinds 2006 maken afdrukken van de linker- en rechterwijsvinger deel uit van het Nederlandse paspoort. Al is een vingerafdruk voor herkenning een betrouwbaar middel (afhankelijk van de kwaliteit van de afdruk), als beveiligingsmethode is hij zwak omdat een vingerafdruk relatief makkelijk te stelen en na te maken is.


IRISSCAN Sinds begin deze eeuw heeft een aantal landen de irisscan ingevoerd als identificatiemethode op vliegvelden. Op Schiphol gebeurt dat sinds 2001. De unieke eigenschappen van de iris of het regenboogvlies (dat dient als het diafragma van het menselijk oog) zijn al meer dan een eeuw bekend. Het duurde alleen tot 1994 voor de Britse geleerde John Daugman het algoritme wist te ontwikkelen waarmee computers patronen in de iris kunnen herkennen. Een iris is gedetailleerder dan een vingerafdruk. Maar met een lens met de opdruk van een iris is ook de irisscanner te foppen, zeggen deskundigen.


GELAATSSCAN De gelaatsscan is een van de biometrische beveiligingsmechanismen in het nieuwe Nederlandse paspoort, in 2006 ingevoerd. Veel reizigers op Schiphol zijn inmiddels bekend met de elektronische douanepoortjes. De computer vergelijkt de opname van iemands gezicht met gegevens die in het paspoort zijn opgeslagen. De gelaatsscan bevat geometrische kenmerken (zoals de positie van de ogen en de afstanden tussen ogen, neus en mondhoeken) en de contouren van een gezicht. De gelaatsscan is minder betrouwbaar dan een vingerafdruk. Bij proeven op Schiphol bleek dat het systeem moeite heeft met de gezichten van kinderen, doordat die snel veranderen.


SPRAAKHERKENNING Spraakherkenning is een verwarrend begrip. Het gaat om twee verschillende herkenningsmethoden: bij spraakherkenning moet de computer achterhalen wat er wordt gezegd, bij spreker- of stemherkenning bij wie een stem hoort. Stemherkenning wordt vooral toegepast als middel om iemand te authenticeren, oftewel diens identiteit vast te stellen. Het is geen waterdicht beveiligingsmiddel. Iemands stem is gemakkelijk ongemerkt op te nemen. Sommige imitators kunnen bovendien een stem perfect nadoen. Toch wordt stemherkenning wel toegepast, bijvoorbeeld door banken om een klant sneller te herkennen in een geautomatiseerd callcenter. In België is stemherkenning gebruikt om na te gaan of gestraften met huisarrest wel thuis verbleven.

undefined

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden