skip to main | skip to sidebar
75 commenti

Apple, già scavalcato il sensore d’impronte

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Ecco come si scavalca TouchID di Apple:

1. Fotografare un'impronta digitale della vittima (da un bicchiere, per esempio).
2. Creare una copia dell'impronta usando metodi e materiali comunemente disponibili.
3. Appoggiare l'impronta falsa sul sensore.

Tutto qui. Non c'è niente di magico nel sensore d'impronte della Apple e il fatto che il sensore sia incastonato in un iCoso non lo esonera dalle regole di base della sicurezza informatica: avere come password una cosa che lasci in giro dappertutto e che non puoi cambiare è supremamente stupido.

È sempre stato così. La mia critica non è ad Apple: è all'introduzione strisciante di una sicurezza illusoria basata su un dato così personale e inalterabile come la biometria.

Per chi pensa che il procedimento delineato qui sopra sia troppo complicato, ricordo che è più semplice che craccare un PIN: non devo neanche avere a disposizione l'iCoso per svariati minuti e avere con me un PC appositamente attrezzato (comportamento sospetto in sé). Mi basta una buona fotocamera.

Oggi ti invito a bere una birra e fotografo la tua impronta; di sera creo il duplicato; l'indomani ti entro nell'iCoso semplicemente toccandolo mentre sei alla toilette. E scarico le tue foto, i tuoi contatti, i tuoi documenti, la tua mail, i tuoi messaggi.

Meglio ancora: ti faccio bere qualche birra in più, aspetto che ti addormenti sul divano e poi prendo il tuo telefonino e ci appoggio sopra il tuo dito.

Ah, e non dimentichiamo che per un inquirente può essere difficile obbligarti legalmente a rivelare il PIN del telefonino che contiene i dati che ti incriminerebbero, mentre ottenere una tua impronta è banale: in molti casi le autorità (e vari enti commerciali) le hanno già, come ricorda Sophos. Siete andati negli Stati Uniti? Ricordate quando avete dato l'impronta per entrare comodamente in palestra o in banca?

Certo, un sensore d'impronte è meglio di niente; ma un PIN è molto meglio di un'impronta. Prima di buttarci come i proverbiali (ma bufalini) lemming sulla biometria pensando che sia una soluzione magica sarebbe sensato capirne i limiti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (75)
Loki ha fatto di meglio per aprire la cassaforte a Stoccarda! ;)
Resto del mio parere che ti ho già espresso su Twitter: la procedura illustrata qui http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren?language=en non la trovo affatto facile. Sicuramente non è "aspetta che prendo una macchina fotografica, ti fotografo l'impronta, la stampo e ti sblocco l'iPhone". Richiede comunque un certo impegno.

Sono dell'avviso che con articoli di questo tipo si vada a parare nella direzione sbagliata, quasi "spaventando" la gente, facendo loro credere che TouchID in fondo fa più male che bene. Ora, è vero che chi custodisce nel proprio iPhone dei segreti degni di tale nome (che so io, trade secrets di UBS o Nestlé) non debba usare TouchID come unico mezzo di protezione. Ma è altrettanto vero che chi custodisce nel proprio iCoso questi segreti (non sarebbe forse meglio non farlo del tutto?), ha a sua disposizione un team di esperti di sicurezza che gli spiegherà cosa fare o non fare con questi segreti e con i suoi dispositivi.

In realtà TouchID è rivolto al normale utente privato o PMI. Nella situazione occasionale che presenterebbe la tipica breccia di sicurezza (la perdita o il furto dell'iPhone da parte di un ladruncolo di strada, oppure un amico che vuole fare uno scherzo), TouchID è la protezione perfetta, perché chi trova un iPhone per strada, o lo ruba, non si mette di sicuro a fotografare impronte, perché non gli interessano i dati contenuti nel telefono, ma il valore monetario del telefono stesso (da rivendere o da utilizzare). Cosa peraltro diventata più difficile, visto che un dispositivo con iOS 7 non è più resettabile (se è attivata l'apposita funzione) se non inserendo la password iCloud/AppleID del legittimo proprietario, rendendo di fatto senza valore il dispositivo rubato.

A me la protezione del dispositivo interessa perché voglio avere una "moderata certezza" che se perdo il telefono, o se mi viene rubato, uno non si metta a leggere o cancellare i miei email, account di social network e quant'altro. E TouchID questa sicurezza la garantisce con un grado a mio avviso piuttosto elevato.

Con questo voglio dire che ovviamente, come tutti i lettori di impronte digitali, anche TouchID di Apple permette ad un malintenzionato di accedere, se costui è abbastanza determinato. Ma ci si deve chiedere in quali situazioni questo possa realisticamente avvenire. Nelle situazioni quotidiane, la trovo pura fantascienza. Sarebbe più utile scrivere come TouchID sia un notevole incremento della sicurezza, soprattutto per quelle persone che oggi, per pigrizia, non usano nemmeno il PIN. Peraltro, leggere casualmente il PIN dalla tastiera altrui mi risulta molto più facile (e ti assicuro che di PIN di amici e conoscenti ne conosco diversi, solo perché erano distratti e lo inserivano lasciando la tastiera in piena vista).

Va bene illustrare le procedure tecniche che possono essere utilizzate per aggirare una tecnologia, ma andrebbero a mio avviso contestualizzate.
Che ogni sistema di protezione sia "scavalcabile" è fuor di dubbio. Il punto è che secondo me ottenere una Foto dell'impronta sia alquanto difficile senza destare sospetti. Non parliamo di acquisire un dato biometrico, in questo caso un' impronta digitale, all'insaputa del "proprietario" che le lascia in giro per il mondo. Come fanno ad esempio le forze di polizia specializzate. Secondo questo metodo si dovrebbe fotografare il dito di una persona in maniera precisa e dattagliata. Non so, mi sembra un pò troppo una roba da film. Alla Mission Impossible!
Il problema è che l'utente medio tende a considerare l'informatica come "magia" e a quanto pare si sta facendo di tutto per assecondare questa credenza in nome della facilità di utilizzo
Il vero problema IMHO non e' che abbiano trovato in fretta un metodo per scardinare la sicurezza (lo sapevamo che era possibile), ma che al consumatore venga trasmessa una falsa sicurezza.

Chi opera nella sicurezza informatica conosce esattamente i limiti della tecnologia e conosce le implicazioni che ci sono nell'utilizzare la gamba "quello che sei" della triade "quello che sei/quello che sai/quello che hai".

Questo e' il vero punto: non far passare come "futuristico" ("With iPhone 5s, getting into your phone is faster, easier, and even a little futuristic." sono parole di AAPL) una cosa che non e' (ho scritto il primo software che usava un lettore di impronte digitali credo 10+ anni fa) e non far passare come altamente sicuro ("It’s a convenient and highly secure way to access your phone.", sempre parole loro) qualcosa che non lo e'.

Lettori di impronte per accessi rapidi ai PC esistono da anni sui portatili e se nono sono diventati mainstream c'e' una ragione.
Ma il PIN per emergenza c'è no?

Tralasciando le ipotesi di dita tagliate ecc, se non c'è un PIN di "scorta" faccio se mi ferisco il dito che serve per l'accesso come faccio?

Se voglio prestare il telefono a mia moglie, devo seguirla pronto a mettere il dito ogni volta che serve sbloccarlo?

Cosa peraltro diventata più difficile, visto che un dispositivo con iOS 7 non è più resettabile (se è attivata l'apposita funzione) se non inserendo la password iCloud/AppleID del legittimo proprietario, rendendo di fatto senza valore il dispositivo rubato.

Non essere così ottimista :-).

Quando si ha il dispositivo (che sia pc o telefono poco cambia) in mano non c'è sicurezza (software o hardware) che tenga.
@Manuel

facciamo un esempio pratico.
una collega di lavoro che stai stalkerando.
recuperi l'impronta in tempo 0, ad esempio passandogli un cd
ti fai il dito di colla
in un momento che lascia il telefono incustodito puoi avere accesso al suo telefono
e controllare le sue foto e le sue mail.
Ciao,

avere una immagine utilizzabile a 2400dpi e stamparla a 1200dpi, ad oggi, penso non sia una cosa cosi' facile. Sicuramente non impossibile, ma sicuramente bisogna anche avere l'attrezzatura esatta. Se devi rubare dei soldi, posso capirlo, ma per rubare delle foto... Sinceramente ci sono dei metodi piu' facili. Senza contare che basta mandare un link "infetto" al suddetto amico...

Per quanto riguarda il tono dell'articolo, concordo con Manuel, sicuramente il PIN e' piu' sicuro, ma la stessa Apple ha ammesso che meno della meta' delle persone lo utilizzava. In questo modo c'e' sicuramente "qualcosa in piu'", che non fa male. Se uno vuole, poi, puo' sempre usare il PIN. A mio avviso avere questo metodo (aggiuntivo, nota bene) non e' cosa negativa, pur con tutte le limitazioni che hai citato.

Non facciamo allarmismo, per piacere.
@Guastulfo (Giuseppe): staremo a vedere. Ora come ora, la sicurezza di "find my iPhone" non è aggirabile, nemmeno usando il DFU mode. Poi come tutte le cose, anche questo verrà crackato... e Apple patcherà. È la solita corsa tra "guardie e ladri". Ma sicuramente meglio di prima (con iOS 6 e inferiori), dove bastava resettare un telefono rubato per poterlo usare.
Tralasciando le ipotesi di dita tagliate

(Paolo Bitta MODE ON)

Stavate parlando di me?

(Paolo Bitta MODE OFF)
Scusate faccio una domanda stupida, lo so già: ma l'Icoso lo uso a mani nude? Come scimmia antropomorfa uso il pollice opponibile per cincionare sul display? Non è che per caso le impronte le trovo sul dispositivo stesso se lo rubo?
Secondo me questo discorso vale per tutti quei "nerd" che gia' prima non si accontentavano del PIN a 4 cifre (facilmente craccabile collegandolo ad un pc) e impostavano una passphrase lunga e sicura. Quanti lo fanno? e quanti ne conoscono l'esistenza?

Purtroppo il mondo consumer e' pieno di gente che non vuole scocciature quando vuole usare il telefono ed inserire un PIN per loro lo rappresenta. Quindi la soluzione e' non impostare nessun PIN. niente sicurezza. meglio la comodita'.
Praticamente tutti i miei conoscenti (non informatici) che hanno uno smartphone non usano PIN di protezione.

in questo scenario il TouchID e' perfetto, non richiede scocciature per sbloccare il telefono, ma garantisce un minimo di sicurezza contro il ladro improvvisato...

se si pensa di proteggere i segreti contenuti nel telefono con un impronta digitale, allora si sta sbagliando strada, ma anche il PIN in quel caso non basterebbe. se un "attaccante" ha intenzione di leggere i vostri dati, lo fara'. indipendentemente dal sistema di protezione. se l'attaccante e' il governo, e' vero che possiede le vostre impronte digitali, ma puo' anche chiedere comodamente ad apple di sbloccare qualsiasi iphone protetto da qualsiasi passphrase.

bisogna contestualizzare qual'e' lo scopo di TouchID.
secondo me non e' quello di proteggere i dati segretissimi, ma quello di portare alle masse un livello minimo di sicurezza.
Il link a Sophos cerca di farmi scaricare un file torrent (widgets_tweet_button.html.torrent).
E' normale?
Per non parlare di questo non trascurabile dettaglio: http://weknowmemes.com/wp-content/uploads/2013/09/nsa-reaction-to-apple-fingerprint-scanning.jpg

:D
Vista la presenza di fotocamere di buon livello in ogni telefono, penso che la lettura dell'iride sia molto meglio.
Nessuno lascia in giro questo genere di informazioni mentre l'impronta digitale la lasciamo in giro ogni volta che tocchiamo qualche cosa. Occhio (è il caso di dirlo) a non confondere lettura dell'iride con lettura della retina.
Questo genere di sicurezza di solito non confonde la foto di un occhio con l'occhio stesso, preso dal vivo.
Questo commento è stato eliminato dall'autore.
Ciao Paolo, credo tu abbia abbracciato la notizia un po' troppo frettolosamente. Sicuramente senza la solita analisi che applichi per altri argomenti.
Già il video non si sa se sia vero, nel senso che non è verificabile che impronta sia impressa nello strato di colla; sempre che sia una impronta su colla e non semplice carta, il video non è così chiaro al proposito.
Ma piuttosto, tale video non dimostra che l'identità sia stata violata. Dimostra solo che un utente può usare la sua impronta "di backup" con un altro suo dito. Cosa strana, sicuramente, ma può voler dire semplicemente che touch ID dà l'accesso se la biometria e impronta dell'utente registrato coincidono.
Se ad usare il finto polpastrello, nel video, fosse stata un'altra persona allora sì sarebbe una questione davvero interessante.
Certo, rimarrebbe il dubbio se questa persona non fosse già registrata sul terminale e questi della CCC stessero solo cercando di fregare tutti.
Forse è il caso di verificare bene la notizia.
Ciao e scusa la lunghezza.
Pienamente d'accordo che un PIN è più sicuro di un impronta. Bisogna però fare i conti con la realtà dell'utenza media. Molte persone per pura pigrizia non attivano neanche un PIN nel proprio telefono (lo so è stupido). Il TouchID, a differenza di molti lettori di impronte, è così rapido e comodo che persino gli utenti che non avevano il PIN lo usano. In questo contesto la sicurezza è sicuramente aumentata.
Ciao Paolo, volevo sapere se avevi visto il video del Keynote di presentazione.
Penso che la tua "critica" contro questo Touch ID venga principalmente da "errati" sensazionalismi fatti da blogger/utenti dato che non trovo alcuna associazione riguardo il reale annuncio di Apple e il suo marketing.

Apple non ha mai detto che, grazie al Touch ID l'iPhone sarà più sicuro. Lo fosse avrebbero probabilmente detto "L'iPhone più sicuro di sempre" :D. E' anche ovvio, se anche il sensore biometrico fosse "più sicuro" dell'accesso tramite pin il prodotto in sé sarebbe meno sicuro del precedente. Poi, se vogliamo dirla tutta, iOs 7 deve ancora essere rifinito e il blocco iniziale ha qualche bug più grande del sensore biometrico :D

Il Touch ID è per quelle persone che, per pigrizia, lasciano il telefono senza blocco. (Apple dice che circa la metà lo fa, secondo le mie stime sono veramente tanti quelli che lo fanno) e in questo Apple l'ha vista giusta secondo il mio parere.
Quello che secondo me dovresti notare è il passo avanti che Apple ha fatto con iOS7 e iCloud. Ora se rubano "l'iCoso" puoi bloccarlo senza possibilità di ripristino (o almeno non mi risulta ci siano smentite in questo) e anche se hai il "ditofintofattoconstrumentichetuttihannoincasadopochehaioffertounabirraalmalcapitato" è facile che uno faccia in tempo di andare su iCloud.com e fregarti.

E se non mi dai ragione non ti voto più l'anno prossimo.

:)
sono più che certo che esiste un metodo più facile
Ciao Paolo,

mi pare di aver letto sul blog IphoneItalia (dove mi sembrano preparati sui giocattoli Apple) che questo sensore lavori anche sulla carica elettrica che ha il corpo.
Non potrebbe essere un deterrente anche quello?
Per chi pensa che il procedimento delineato qui sopra sia troppo complicato, ricordo che è più semplice che craccare un PIN: non devo neanche avere a disposizione l'iCoso per svariati minuti e avere con me un PC appositamente attrezzato (comportamento sospetto in sé)

In realtà c'è un tizio che racconta come il PIN dell'iPhone sia scavalcabile senza avere un "PC appositamente attrezzato". Dice che "Non servono strumenti, virus o altro: ci vuole solo un buon tempismo nel premere il tasto per le chiamate d'emergenza appena prima che compaia la richiesta di conferma di spegnimento".

Secondo te è più facile armeggiare con colle, polveri e pennelli rispetto a premere dei tasti velocemente?

Ah, e non dimentichiamo che per un inquirente può essere difficile convincerti a rivelare il PIN del telefonino che contiene i dati che ti incriminerebbero, mentre ottenere una tua impronta è banale. Con l'astuzia o con la forza.

Un inquirente può costringerti a fare quello che vuole con la forza. Può prenderti a schiaffoni (o farti waterboarding, così non rimane nemmeno il segno) finché non gli dici il PIN.
Se non si fa scrupolo a usare la forza per prenderti il dito non vedo perché dovrebbe farsi scrupoli per prenderti a schiaffi finché non riveli il PIN.


Mythbusters precede tutti...

http://www.youtube.com/watch?v=3Hji3kp_i9k

dipende dalla qualità del dispositivo. In certi casi, basta davvero la fotocopia!
Scusa non avevo capito mi avesse accettato il commento già la prima volta e l'ho reinserito. Ho cancellato il primo che aveva qualche errore.
Senza contare che il ladro, se è dotato di una buona "circonferenza gluteale", potrebbe trovare un'impronta buona da riutilizzare direttamente sul telefono stesso.
Certo, forse non può fotografarla direttamente e dovrebbe prima evidenziarla tramite qualche nastro adesivo e/o polverina in stile CSI.....roba che probabilmente il ladruncolo medio non possiede. Così come è improbabile che la procedura della foto all'impronta sul bicchiere possa essere utilizzata da un vostro amico che vuole solo farvi uno scherzo mentre siete al cesso o mentre dormite....il gioco non vale la candela.

Ma intanto va considerato se invece la finalità è proprio quella di spulciare nel telefonino di un altro per reperire informazioni private (es. per spiare i documenti di lavoro, oppure la corrispondenza privata) o per inserirne altre (magari compromettenti, come foto, documenti, mail), allora queste procedure appaiono relativamente semplici e facili da attuare.

Quel che mi chiedo ... ma qualcuno lo voleva davvero il lettore di impronte sul cellulare? Prima che se ne uscisse Apple qualcuno di voi ha mai pensato "Come sarebbe bello sbloccare il telefono con l'impronta del dito"?
@Stupidocane
Stavate parlando di me?

Ci sei riuscito?
Come hai fatto?
La vittima se n'è accorta?
Come facevi a sapere quale dito usava?
Quando il dito va a male come fai? O si il freezer quando no ti serve?
Scusate, forse dirò una ca**ata, ma a nessuno è venuto a mente che le impronte dell'utente SI TROVANO SULL'IPHONE STESSO?

Se l'utente preme il proprio ditone sul display per accedere, la sua impronta sarà rilevabile semplicemente DAL DISPLAY. In questo caso basta rubare il telefono e il gioco è fatto. Più o meno è la stessa sicurezza che scrivere il PIN su un foglietto e appiccicarlo sul telefono...

Non è così? Smentitemi vi prego, sto avendo dei seri dubbi sull'intelligenza della razza umana!... :-(
@ GuastulPfo

No. E' che io posso contare solo fino a nove. La battuta di tagliare via un dito per prendere le impronte, con me potrebbe avere dei risvolti tragicomici...

:D
Scusate. Non è una critica ma una serie richiesta di spiegazioni. Il link al video linkato nel pezzo citato da Paolo, punta ad una specie di dimostrazione eseguita con un iPhone 4S. Ora, io non me ne intendo...ma ho qui davanti un 4S aggiornato ad iOs 7....ma di Touch ID neanche l'ombra. Cosa mi sono perso?
Se si è molto determinati, si può andare a leggere direttamente la flash, non ci vuole una tecnologia spaziale ma semplicemente un laboratorio elettronico ben attrezzato per lavorare con componenti SMD.
Ad esempio l'Iphone4 ha una flash Samsung K9PFG08U5M e qui
http://flash-extractor.com/forum/viewtopic.php?t=5797
parlano proprio di come leggere tale chip. C'è anche un altro chip che contiene sia una flash da 16Mb che 16Mb di RAM (Micron PF36MY1EF) ma anche questo non è un problema.

La storia del finto dito in gomma non è nuova, ricordo di averla letta alcuni anni fa riguardo ai lettori di impronte che erano montati sui notebook.
Concordo che come sicurezza assoluta non vale niente ma come sicurezza contro il ladro occasionale forse si. Dico forse perché c'è sempre la possibilità che venga sviluppato qualche tipo di exploit hardware/software come già esistono quelli per sbloccare cellulari.
Si potrebbe parlare di come il sistema di riconoscimento di impronte digitali non sia perfetto, in effetti c'è qualcosa come un caso su 10'000 in cui una persona può superare un test sulle impronte digitali basato sull'impronta di un'altra persona. Cioè, se ho capito bene ci sono a questo mondo tipo 700'000 persone che potrebbero aprire un dispositivo sigillato con la mia impronta artificiale provandoci casualmente, senza alcun accorgimento.

Ne ho chiaccherato con impiegati alle vendite di una non meglio precisata casa automobilistica, mi han detto che, a quanto ne sapevano un paio di anni fa il riconoscimento di impronte digitali dovrebbe aggiungersi agli altri sistemi, non sostituirli.
Non so se questo varrà [almeno] per automobili ed abitazioni, ma mi fa venire una bella idea...

Già che si parla di incrementare la sicurezza, perchè non costruirle in modo che lo scrocco necessiti di superare un test etilometrico per avviare il motore?
Si vorrei vedere come si scavalca questo NueroSky Mindset http://en.wikipedia.org/wiki/NeuroSky
Anche la nuova Nissan Micra che si apre con le impronte digitali quindi può essere aperta da chiunque?
Paolo vorrei segnalare a te (e a diversi utenti che hanno commentato prima di me) un dettaglio non trascurabile riguardo la tecnologia TouchID. La tecnologia, come specifica chiaramente anche il sito Apple (http://www.apple.com/it/iphone-5s/features/), permette di salvare l'impronta di più dita, non di uno soltanto. E le dita non necessariamente devono appartenere alla stessa persona.
Insomma il video linkato nell'articolo che citi, così come è fatto, non dimostra alcunché e potrebbe essere un falso clamoroso: basta che sia stato precedentemente salvato anche il secondo dito in memoria e che il pezzo di carta (o quel che è) che viene posto su di esso a fine video sia semplicemente "vuoto" e sufficientemente trasparente. Lo stesso si potrebbe dire di un video che mostrasse la stessa procedura usando il dito di un'altra persona. Non è dimostrabile che il device in quel video sia "vergine" e non vi siano memorizzate altre impronte.
@puffolottiaccident: http://www.autoblog.it/post/35841/olanda-letilometro-impedisce-lavviamento-dellauto
NOn so come sia il riconoscitore di impronte apple, ma i dispositivi biometrici solitamente non agiscono sull'immagine visiva dell'impronta, ma su quella data dalla differenza di capacita` tra creste e solchi che formano i disegni dell'impronta. difficilmente riproducibili a stampa.
@Stupidocane
No. E' che io posso contare solo fino a nove. La battuta di tagliare via un dito per prendere le impronte, con me potrebbe avere dei risvolti tragicomici...

Ah... ehm... scusa... non sapevo.

Puoi sempre che ti hanno rubato l'iPhone 5s.
Tu eri tra i collaudatore del prototipo e dei brutti ceffi te lo hanno rapinato insieme al dito che lo sbloccava.

Puoi anche aggiungere (per farti ancora più il bello) che dentro c'erano dei progetti straultramegasegreti che ti aveva inviato, in amicizia, la sorella dell'amica della zia del fratello dell'amico di un cugino di una guardia addetta a proteggere i segreti, con preghiera di non mandarli avanti.
@ Guaeppe

Quando mi chiedono com'è successo, di solito me la cavo con "Eeh, avevo il vizio di mangiarmi le unghie, poi... un giorno..."

Potrei però prendere spunto da sta cosa dell'iCoso e fare un'upgrade alla mia autoironia per portarla nell'era digitale...

... digitale... ROTFL!!!
Wuti,

in effetti la tua obiezione è sensata: il telefonino mostrato non sembra un 5S con sensore.

Tuttavia il CCC non è il genere di team che racconta frottole facilmente e ha un'ottima reputazione, per cui tendo a ritenere valida la notizia non perché c'è un video (che comunque sarebbe falsificabile facilmente) ma perché il CCC è una fonte affidabile. Se dice di averlo fatto, probabilmente l'ha fatto.

Se ci vogliamo levare il dubbio, usiamo il metodo scientifico: ripetiamo l'esperimento e vediamo che succede.
le dita sono 10 - come si fa a sapere quale è usata????
Paolo, lo smartphone sicuramente non è un 4S o inferiore (perché ha la fotocamera anteriore posta centralmente nella zona superiore, negli altri è messa lateralmente rispetto alla zona in cui c'è lo speaker per l'orecchio).
Al più potrebbe essere un iPhone 5, ma si vede che il pulsante Home è quello senza "quadratino" centrale all'interno della zona circolare proprio come se fosse uno con TouchID. Quindi o hanno modificato un iPhone 5 per farlo sembrare un iPhone 5S o è originale.

P.S: lo smartphone è stato prestato al CCC dall'Heise Security team come sicuramente avrai letto.
Mi pare che più che altro ci sia il desiderio di parlare male di Apple. Come detto da altri, e dall'autore, l'impronta è molto meglio di niente, e visto che già con niente si ritrovano un sacco di iPhone, iPad e Mac rubati, credo che sia un gran punto a favore di Apple. Una delle poche buone idee, da quando il grande Steve se n'è andato. Certo il codice è più sicuro, ma l'impronta è infinitamente più comoda e con figli e colleghi posso stare sereno; poi se l'NSA mi prende di mira, non sarà certo quello il problema!
se la faccenda dei lemming suicid è, come mi risulta, una bufala, mi sembra inadatto utilizzarla come metafora in un sito come questo:)
Detto questo, concordo pienamente. Almeno chiedesse sangue fresco, sarebbe minimamente più sicuro...
Ma scusate ... pensavo che, visto che c'è il display "Retina", si usasse come dato biometrico ...
OK ... non lo faccio più ...
:-)
@mattia
per quelle eventualità infatti i dati si tengono su partizioni cifrate nascoste... Così io ti dò la password di quella "esterna" (per così dire) dove non tengo niente di sensibile, mentre i dati veri sono "all'interno" protetti da un'altra pwd...
@Davide
di Paolo puoi dire tutto fuorché parli per partito preso. I suoi giudizi condivisibili o meno di solito sono frutto di attente ponderazioni e valutazioni. Il problema non è l'NSA ma il fatto che una protezione con impronta digitale è facilmente scavalcabile da chiunque, anche chi non abbia particolari competenze informatiche. Basta un dito. Il tuo. Non è una frase che conosci solo tu, è un dato che è facilmente accessibile perché lo lasci su ogni cosa che tocchi e che non puoi modificare. Questo è il problema. Se qualcuno ha una "copia" della mia pwd io la cambio. Se qualcuno ha una copia delle mie impronte digitali non posso farlo... Non mi sembra voler parlare male dell'apple a tutti i costi, mi sembra voler mettere i puntini sulle i... Non è sicurezza, è solo l'idea di sicurezza, un po' come l'omeopatia...
@paolo, @mattia speroni: mi ricredo. Dopo una verificata fatta con un amico (che ha un iphone5) penso che sia un 5S. Il commento di Mattia penso tolga comunque i dubbi in ogni caso. Un veloce calcolo del rapporto fra i lati (misure fornite a schermo dal mio amico con iphone 5) danno un rapporto vicino a 2 che considerando l'errore prospettico, conferma che si tratta di un 5S.
So che ad occhio è difficile valutare queste cose, ma partendo da questa immagine mi sembra che il telefonino nella foto sia un iPhone 5 e non un 5s. Guardate ad esempio la dimensione nel display in relazione alla posizione, sul lato destro, del pulsante più in alto e della linea colorata in basso: nell'iPhone 5s il display dovrebbe avere la parte inferiore vicina alla linea e la parte superiore un poco più sopra il pulsante; dal video, ad esempio guardando al secondo 3, questi particolari sembrano molto più simili all'iPhone 5. Può darsi che il CCC abbia voluto semplicemente fare un video viral per sensibilizzare le persone sulla questione sicurezza.
Molto semplicemente il lettore di impronte fa più figo, è la iFilosofia, e poi non sanno più cosa metterci per aumentare le vendite... stanno rovinati!
Questo commento è stato eliminato dall'autore.
Non parlando ora della "Sicurezza illusoria" che effettivamente ci circonda, il link a seguire è un articolo interessante riguardo al test (più o meno affidabile) del sito tedesco
http://www.macitynet.it/sicurezza-touch-id-lhack-tedesco-mistificazione/
In parole povere le impronte vengono rilevate anche se c'è un pezzo di carta tra il dispositivo e il dito...
Non parlando ora della "Sicurezza illusoria" che effettivamente ci circonda, il link a seguire è un articolo interessante riguardo al test (più o meno affidabile) del sito tedesco
http://www.macitynet.it/sicurezza-touch-id-lhack-tedesco-mistificazione/
In parole povere le impronte vengono rilevate anche se c'è un pezzo di carta tra il dispositivo e il dito...
Date un'occhiata a questo...
http://www.macitynet.it/sicurezza-touch-id-lhack-tedesco-mistificazione/
@Atomos

Va bene lo scetticismo, ma l'immagine di confronto fra iPhone 5 e 5s che hai utilizzato è la cosa più falsa che giri su internet da decenni, lol.

Le uniche differenze estetiche (e non) tra 5 e 5s si rifanno al doppio flash led nel backcover e il pulsante fisico posto in basso, classico tondo col quadrato smussato nel 5 e leggermente più ampio e senza quadrato nel 5s.
Questa smania per le impronte è assurda proprio per il fatto che si lasciano in ogni dove a propria insaputa a migliaia tutti i giorni. Nessuno affiderebbe l'apertura di una porta blindata alla sola impronta, un conto è la banca che tiene traccia di chi entra a scopo preventivo, ammesso serva, un conto far si che piloti la serratura di casa piuttosto che l'auto o la cassaforte quando non ci sta nessuno a presidiare.
Il lato peggiore è che l'impronta permette l'accesso a propria insaputa. Molto spesso non solo è importante avere accesso ma anche sapere se vi è stato un accesso fraudolento. Se mi rubano la chiave lo so. Se mi minacciano per avere un pin lo so. Se mi rubano un generatore di chiavi me ne accorgo.
Ma se entro al pub e se sono seguito e quello dietro di me si intasca il bicchiere ne resterò ignaro sino a che non mi accorgerò dell'ammanco, sia esso la macchina sparita, denaro rubato o casa svaligiata.
@Il si passivante
Oops, hai ragione, ritiro quanto scritto sopra (a proposito, c'è un modo di editare un commento precedente?). A quanto pare sono cascato in un'immagine sfornata dai rumour mills, per giunta vecchia di molti mesi.
Motogio,

Interessante anche l'articolo di macitynet.it sul caso:

Articolo rimosso? Il tuo link non funge. Ho letto la copia cache.
Come metodo di unlock del telefono lo trovo più sicuro del pin a 4 cifre o del disegnino di android, entrambi "sbirciabili" da un malintenzionato.

Chiaro che se poi avranno intenzione di abbinare l'impronta digitale anche ad autorizzazioni di pagamento, bisognerà probabilmente rivedere il sistema o perlomeno aggiungere ulteriori layer di sicurezza.

(OK, l'eventuale ladro può acquistare roba sull'appstore con il tuo telefono e la tua impronta digitale, ma mi sembra più un "dispetto" che un reale furto).
@Paolo Attivissimo

Articolo rimosso?

L'articolo è scomparso; farò sparire anche il mio commento precedente, inutile commentare qualcosa che non esiste ;-)
Mmhh... interessante... un articolo contro Apple rimosso... se fossi complottista, sospetterei...

Mumble Mumble
Paolo, c'è un motivo per cui nell'articolo non usi mai la parola "iPhone"?
Altrimenti lo trovo un po' infantile, come "winzozz" e simili.
Ciao
C'è stato un aggiornamento all'articolo inserendo anche questo video: http://www.heise.de/video/artikel/The-iPhone-5s-Touch-ID-hack-in-detail-1966044.html

Giusto per aggiungere "materiale" alla notizia. Rimango dell'idea che aggirare TouchID sia effettivamente possibile con quel metodo in quanto dovrebbe rispondere a tutti i requisiti per ingannare un sensore d'impronte.
E ancora ancora... Pare sia scattata la corsa a chi elabora il metodo più veloce... per aggirare il dispositivo di insicurezza... qua partono addirittura dall'impronta rinvenuta direttamente sullo schermo con un banalissimo scanner... voglio aprire un corner... investigatori privati... mogli gelose... ce ne sono di motivi per redere utile il servizio. E per chi ha paura di find my phone vorrei ricordare che basta dotarsi di una busta rivestita di carta alluminio quanto basta e una cantina abbastanza profonda per essere isolati dal pericoloso segnale di disabilitazione e mandare in vacca il gps.
PS
Noto con piacere che ora si riesce agevolmente ad usare safare degli icosi per commentare.
Mi sono dimenticato il link: http://www.hwupgrade.it/news/apple/video-mostra-come-violare-touch-id-il-banale-attacco-che-ha-richiesto-30-ore_48868.html
Un po come i Googleglass per il discorso della privacy, anche le impronte digitali dovrebbero essere, per lo meno, accompagnate da un secondo sistema di verifica, ma poi ne verrebbe meno il suo senso di praticità..boh, sono a favore drlle innovazioni Apple, ma qui mi sembra un campo un po troppo minato!
Un Pin è molto meglio di un'impronta digitale, si afferma.

Se uno sbircia il Pin del mio telefono e mi ruba il telefono stesso, entra nel sistema.

Se sbircia la mia impronta digitale sul telefono e mi ruba il telefono, deve effettuare una procedura degna di essere mostrata in un video.

Sempre che l'impronta digitale impostata non sia quella del mignolo della mano secondaria, nel qual caso tanti auguri al ladro che la cercherà.

Un Pin è molto meglio di un'impronta digitale? La risposta è un grosso "dipende". :-)
lux,

Un Pin è molto meglio di un'impronta digitale? La risposta è un grosso "dipende". :-)

Ovviamente. La distinzione di fondo è che posso prendere delle misure per evitare che tu possa sbirciare il mio PIN. E' molto più disagevole prendere misure che ti impediscano di raccogliere una mia impronta. Se poi sei un inquirente, probabilmente hai già la mia impronta :-)
L'impronta digitale è buona per l'identificazione. Ottima anzi, ma pessima, molto pessima per l'autenticazione. Il peggio che ci possa essere.
Scelgo uno userid, avariatedeventuali, che mi identifica in google, scelgo un pin o password che mi autentica con quello userid. Scrivo qua e si sa che sono io non un altro.
Il mio userid è visibile ma la password no. Io solo posso autenticarmi con quell'id.
Se la password viene violata la cambio. L'autenticazione è salva o il danno ridotto anche se lascio lo userid in bella vista è inutile ma voi sapete che sono io, mi identifica.
Se violo l'impronta digitale, violo non solo l'identità ma l'autenticazione. Tanto più strumenti useranno l'impronta come autenticazione tanto più sarà a rischio la propria vita, perché, una volta violata l'impronta, come si potrà modificarla?
Impronta molto buona per identificazione, pessima per l'autenticazione.
Se qualcuno sbircia? Faccia pure. La mia banca per autenticarmi non solo mi da un userid unico e una password ma anche una chiave usa e getta per autenticare ogni singola disposizione che impartisca sul conto.
Per gli altri servizi, quando si ha il sentore o il servizio lo preveda (molti ricordano di modificare pin o password dopo intervalli di tempo prestabiliti) semplice il pin o la password si cambia o se ne chiede una nuova (carte di credito in testa).
Ancora una colta l'autenticazione è salva in pochi minuti.
L'impronta ha decine e decine di migliaia di anni. Ottima per afferrare oggetti senza lasciarli scivolare evolutivamente parlando. Ottima negli ultimi tre secoli per identificare e tracciare le persone. Pessima ora e sempre per autenticarle a meno che...
A meno che dietro non si ponga un agente di sicurezza (come al board statunitense) che all'atto della scansione controlla che non venga usato nessun artefizio atto a dissimulare la propria impronta sostituendola con altra.
La diffusione dell'impronta come mezzo di autenticazione può essere definita come la più grande iattura che possa colpire la privacy e la sua tutela nel mondo occidentale.
Da elettronico ho sempre usato un altro sistema per creare il duplicato. Una volta avuta l'impronta stampata su lucido (basta una stampante laser) utilizzo una piastra fotosensibilizzata per circuiti stampati. In pratica faccio un circuito stampato a forma di impronta digitale. Tutti i reagenti ed i materiali li trovi in un qualsiasi buon negozio di elettronica, e stampo circuiti da quando avevo 14 anni, non è difficile. Il rilievo del rame usato per le piste è molto più alto di quello del toner, e permette la creazione di un "dummy" di gomma (silicone va benissimo).
il vero problema della sicurezza degli smartphone non è tanto il furto (se un ladro ti ha fregato il cellulare e non riesce a sbloccarlo, alla peggio lo butta certo non te lo restituisce) quanto il furto di dati. per questo trovo che dispositivi come touchid siano pericolosi: infondono un falso senso di sicurezza che spinge i meno accorti a lasciare sullo smartphone contenuti che andrebbero protetti con più efficacia (pensiamo solo agli autoscatti che ultimamente hanno messo nei guai tanti adolescenti.....).
a tutte le perplessità sulle possibilità di costruirsi false impronte , aggiungerei queste due :
a) siamo sicuri che il dispositivo non impedisca l'accesso al legittimo proprietario in casi banali (dita sporche, tagli, dita non posizionate correttamente ) e non immediatamente risolvibili (un dito sporco di marmellata lo pulisci subito...con il cianoacrilato la cosa si fa difficile)
b) ad iphone "sloccato" , è possibile registrare una seconda impronta ?se si...si potrebbe procedere in tal senso, magari con il clelulare dimenticato sul tavolo del ristorante dall'amico/fidanzata/collega) e ritornarci in seguito con calma...avendo ormai creato una backdoor...
@gufoimpiccione osserva: "a) siamo sicuri che il dispositivo non impedisca l'accesso al legittimo proprietario in casi banali (dita sporche, tagli, dita non posizionate correttamente ) e non immediatamente risolvibili (un dito sporco di marmellata lo pulisci subito...con il cianoacrilato la cosa si fa difficile)"
Se l'impronta non va dopo il terzo o quinto tentativo, non ricordo, viene cmq richiesto il pin per sbloccare il dispositivo senza impronta.
La mia perplessità è un altra, se uso per un anno l'impronta e poi per un qualsiasi motivo non riesco e devo ricorrere al pin, me lo ricorderò o lo avrò dimenticato non avendolo mai usato? Non posso dissimularlo nella rubrica del telefono che sarebbe bloccata, che faccio? Lo scrivo su un pezzo di carta da tenere nel portafogli? Perplesso...
@avariatedeventuali
...che faccio? Lo scrivo su un pezzo di carta da tenere nel portafogli? Perplesso...

Tatuaggio? :-)
@guastulfo... Bella fra', così se ti violano il pin poi devi rifarlo. E mi esce uno spunto di riflessione... Ma voi fareste l'autenticazione tramite un tatuaggio che avete solo voi? Non è poi tanto diverso dalle impronte...
Sempre più che mai convinto che autenticare con le impronte digitali sia di un'idiozia unica.