Apfeltalk LIVE! LATENIGHT | Touch And Go!

[Michael Reimann]

Nicht mal eine Woche hat es gedauert, dann ist Apples Schutzschild TouchID gefallen. Biometrieexperten vom Chaos Computer Club haben gezeigt, dass man die Sperre umgehen kann. Ob sich der Hack als Praxistauglich erweist muss sich noch zeigen. Allerdings sieht man jetzt schon eines: Keine Sperre ist unüberwindlich. In dieser Ausgabe der ATLN demonstrieren wir wie der TouchID-Sensor arbeitet und erläutern, wie der Workaround des CCC für TouchID funktioniert.[PRBREAK][/PRBREAK]

<iframe src="http://new.livestream.com/accounts/4100265/events/2429037/videos/30958944/player?autoPlay=false&height=360&mute=false&width=640" width="640" height="360" frameborder="0" scrolling="no"></iframe>

Zur Youtube-Version bitte hier lang: http://youtu.be/uiMUr2FL7Wk

Den Podcast findet ihr hier: https://itunes.apple.com/de/podcast/apfeltalk-live!-latenight/id691243870?mt=2

Links zur Sendung:
Pressemitteilung vom CCC zum TouchID-Hack
TouchID is hacked and still awesome
iPad Mini in Gold

Außerdem wird nun doch Jan zu Gast sein. Er hat sich ja letzte Woche vor dem Hamburger Applestore angestellt um ein iPhone 5s zu bekommen. Seine Erlebnisse wollen wir wissen und außerdem bringt er das 5s mit, so dass wir es auf Herz und Nieren untersuchen können.

Am Freitag ist dann auch iOS 7 fast eine Woche auf dem Markt, bzw. in freier Wildbahn. Für diejenigen unter Euch, die sich noch nicht zum Update entschließen konnten, wollen wir ein bisschen was zeigen. Vielleicht fällt dann die Entscheidung leichter. Auch auf den jüngst in Apple-Foren aufgetauchten Aspekt der Übelkeit und/oder der Kopfschmerzen, die iOS 7 bei einigen Menschen erzeugen soll, werden wir eingehen.

Wir freuen uns schon auf eure Kommentare vor, während und nach der Sendung.

 

[Mitglied 162259]

Ich bin echt enttäuscht von Apple. Sie haben prophezeit, dass der TouchID die unterstersten Hausschichten scannt. Und auf der Apple Seite steht. Der TouchID ist extrem sicher.
Nicht mal 2 Tage hats gedauert und so kompliziert ist das Täuschungsverfahren auch nicht. Vielleicht ist es nicht ganz alltagstauglich, aber es ist relativ einfach möglich, wenn man die Absicht hat.

 

[SeptimusFlyte]

Ging mir auch so und mal sehen wie sich Apple dazu äußert

 

[Cohni]

Wurde der Hack eigentlich von anderer Stelle schon nachvollzogen, wenn er so einfach ist? Oder hat der CCC ein Patent darauf...

 

[LaCube]

Wurde der Hack eigentlich von anderer Stelle schon nachvollzogen, wenn er so einfach ist? Oder hat der CCC ein Patent darauf...

Es gibt schon genug Videos wo Leute es nachmachen, aber der Fingerabdruck muss auch vollständig da sein und der besagste Kriminelle der das dann versucht muss auch wissen welcher Finger gescannt ist, es funktioniert zwar, aber in der Praxis denke ich macht es nicht viel Sinn; Zeit/Nutzen Faktor diese Taktik zum Handy klau zu nehmen!

Mich würde eher die Software Sicherheit interessieren, ob die Daten aus dem iPhone nicht klaubar sind (Fingerabdruck) und die Sachen nicht gespeichert werden.

 

[DLC]

What? nicht umständlich? Also wer solchen Aufwand betreibt, um an ein Telefon zu kommen, der kann auch gleich Kreditkarten nachmachen oder sonstiges..Hier gehts immerhin "nur" darum ein iPhone zu entsperren... Da kann ich genauso gut den 4stelligen code probieren raus zu finden oder das ding neu herstellen, direkt bei ebay verticken usw usw. also für mich ist es immer noch sicher und ich würde es trotzdem benutzen, einfach weils einfach und entspannt ist

 

[Cohni]

Mich würde eher die Software Sicherheit interessieren, ob die Daten aus dem iPhone nicht klaubar sind (Fingerabdruck) und die Sachen nicht gespeichert werden.

Genau, das ist die eigentlich wichtige Frage.

 

[Mitglied 162259]

What? nicht umständlich? Also wer solchen Aufwand betreibt, um an ein Telefon zu kommen, der kann auch gleich Kreditkarten nachmachen oder sonstiges..Hier gehts immerhin "nur" darum ein iPhone zu entsperren... Da kann ich genauso gut den 4stelligen code probieren raus zu finden oder das ding neu herstellen, direkt bei ebay verticken usw usw. also für mich ist es immer noch sicher und ich würde es trotzdem benutzen, einfach weils einfach und entspannt ist

Es geht nicht nur um das entsperren. Man kann auch bei iTunes nach belieben einkaufen.

 

[Cohni]

Jemand klaut Dir Dein Iphone, bastelt Deine Finger nach...nur um mit Deinem Account auf Deinem Iphone Apps zu kaufen? Was für ein böser Mensch!

Ist dieses Bedrohungsszenario nicht ein wenig sehr konstruiert oder habe ich gerade irgendeinen Denkfehler?

Man kann das Iphone mit einem nachgemachten Finger entsperren. Nicht ganz ohne Aufwand, aber es geht.

Für einen Dieb ein durchaus denkbares Szenario, wenn er sich denn den einen eingescannten richtigen Finger in ordentlicher Form auf dem Iphone oder woher auch immer beschafft. Dann hat er das iPhone entsperrt, aber nicht Dein Apple-ID-Passwort, welches er neuerdings benötigt, um das Ding "sauber" zu machen. Na klar kann er Apps auf Deine Rechnung kaufen. Aber wozu? Er wird das Phone entweder selber nutzen wollen oder weiterverkaufen.

Okay, er kann ein bisschen in Deinen Daten schnüffeln. Umständlich das alles, aber denkbar. In den allermeisten Fällen bei diesem an sich schon recht seltenen Szenario, wird man Zeit haben, das Device zu sperren, da man in der Regel mitbekommt, dass es weg ist.

Alle "böseren" möglichen Angreifer auf das Gerät, meinetwegen irgendwelche Geheimdienste, brauchen diesen "Fingerzugang" nicht, denn sie lesen im Zweifel das Gerät online aus.

Für mich ist der Scanner ein eindeutiger Komfort-und Sicherheitsgewinn für den Alltag.

Für sehr seltene und unwahrscheinliche Szenarien bietet er natürlich ungenügenden Schutz, wie beinahe jedes Sicherheitssystem.

Der "Skandal" ist für mich persönlich nur aufgebauscht. Nicht weil ich Apple-Fan bin, sondern mit ganz nüchterner verschwörungstheoretischfreier Betrachtung.

Hätte der CCC das innere System geknackt, wäre dies in der Tat ein Skandal und eine Enttäuschung wert.

Was jetzt gerade an Empörung durch die Online-und reale Welt zieht, ist...unberechtigt. Meiner Meinung nach.

 

[SeptimusFlyte]

Ich bin echt enttäuscht von Apple. Sie haben prophezeit, dass der TouchID die unterstersten Hausschichten scannt. Und auf der Apple Seite steht. Der TouchID ist extrem sicher.
Nicht mal 2 Tage hats gedauert und so kompliziert ist das Täuschungsverfahren auch nicht. Vielleicht ist es nicht ganz alltagstauglich, aber es ist relativ einfach möglich, wenn man die Absicht hat.

Ja, denn du drückst ja den Tesastreifen mit deinem Finger drauf und somit wird die Wärmemessung im Sensor ausgetrickst. Wird man sicher am Freitag im Apfeltalk testen. Bin schon gespannt drauf....

 

[Cohni]

Der CCC hat sein Vorgehen nun ein bisschen detaillierter beschrieben, was sie eigentlich von Anfang hätten so machen sollen. Ob beabsichtigt oder nicht, fand und finde ich Art und Weise der ersten Veröffentlichung einfach nur zur sehr nach Sensation strebend.

Mit der detaillierten Darstellung wird klar, dass der Touch ID von Profis umgangen werden kann. Hierzu bedarf es jedoch idealer Bedingungen. Der dort vom Iphone abgenommene und eingescannte Fingerabdruck sieht mir auf dem Bildschirm allzu ideal aus. So etwas bekommt man selbst in der kriminalistischen Praxis sehr selten zu Gesicht.

Es geht, aber eben nicht so nebenbei und einfach.

Bei Heise gibt es noch einen Kommentar von Jürgen Schmidt, der mir sehr gut gefällt, weil sehr nüchtern verfasst: http://www.heise.de/security/artikel/Besser-mit-Touch-1965801.html

Bleibt immer noch die Frage der Sicherheit hinsichtlich Speicherung, Verschlüsselung etc.

Dessen objektive Infragestellung käme eher schon einem Skandal nahe, als dieser McGyver-Hack...

 

[macdiver]

Leider/Gottseidank (je nach Standpunkt) sind die von "Hinterlassenschaften" gewonnenen Abdrücke seltenst in einem derart exquisiten Zustand, dass sie ohne aufwendige Technik für diese Zwecke nutzbar gemacht werden können.
Der Aufwand lohnt sich also nur, wenn es wirklich etwas von Wert zu erhaschen gibt.

Also z.B. bei Frau Merkel oder irgendwelchen Geheimnisträgern (mit entsprechendem "geldwerten Vorteil" für das abgezogene Material).

Und die haben in der Regel die "NSA-gestählten Merkelphones".

Ich bezweifle mal stark, dass jemand aus diesem Forum jemals Opfer einer derartigen Attacke werden wird.
Der Aufwand steht halt in keinem Verhältnis zum Nutzen.

Im Übrigen ist Sicherheit eigentlich immer die Erschwerung des unautorisierten/unerlaubten Tuns.

Beim Einbruchschutz geht es z.B. nicht um die Verhinderung des Einbruchs (geht nicht, wer will und genug Mittel ($$$) hat, kommt überall rein), sondern um die Erschwerung (Krach, Zeit, Aufwand (Arbeit, $$$) -> Entdeckungsgefahr, Kosten/Nutzen-Relation). Der ein oder andere schlimme Finger sucht sich dann halt ein Objekt, dass er kostenmäßig "billiger" kriegen kann. Z.B. den schlechter abgesicherten Nachbarn.

Insofern ist der Sensor schon ein Schritt in die richtige Richtung, er legt die Latte für die unberechtigte Nutzung ein ganzes Stück höher, bzw. bei manchen gar erstmalig in ihrer Kariere als Smartphone-Nutzer überhaupt, auf!

BTW: Seit über einem Jahrzehnt sind im (Hoch-)Sicherheitsumfeld keine FPS mit planer Auflage mehr zugelassen. Nur noch die mit dem Finger zu überstreifenden. Und die auch nur als Teil einer two-factor authentication.

Die "Lebenderkennung" ist halt nicht so trivial. Eventuell ist die "leichte" Überlistung mit der Holzleim-Methode auch nur ein kleines Hobatzerle in der Auswertung der unteren Hautschichten. Weil es schnell fertig werden musste? Vorstellbar wäre es (für jeden, der sich in diesem Umfeld bewegt). Wäre dann, ganz im Sinne der vorangegangenen Ausführungen halt noch eine weitere Verzögerung (aber immer noch keine gesicherte Abwehr).

Just my 2 ct. (weil: ich kann dieses marktschreierische Vermarkten des "geknackten" Sensors (ob am iPhone oder an sonst einer Zutrittseinrichtung) nicht mehr hören. Siehe oben. Mich würde aus rein beruflicher Neugier jedoch interessieren, wie lange ein Profi mit einem fremden, nicht von ihm benutzten und angelernten iPhone braucht, um vom Schreibtisch/Telefon/Phone einen verwertbaren Abdruck eines Fingers abzuklauben, ihn hinlänglich aufzubereiten und dann innerhalb der wenigen erlaubten Versuche erfolgreich dem passenden Finger zugeordnet einzusetzen)

 

[ndadi84]

ich freu mich schon auf HD Wasser Slomo

 

[Michael Reimann]

ich freu mich schon auf HD Wasser Slomo

Geile Idee. Geht zwar nicht Live, aber wir werden Jan nötigen, das Einschenken zu filmen und dann in der nächsten Woche zeigen.

 

[Onemorething]

Jan ( Studiogast) ist der erste Mensch den ich sehe der beim Antworten die Augen automatisch schließt. Sind das erste Auswirkungen von iOS 7?

 

[raven]

War eine tolle Sendung. Danke an macindy für die ausführliche Erklärung, wie der Hack entstanden ist, die zügige Reaktion und Behebung

@ Michael: Das iPhone 5c in grün sieht top aus. Bei uns noch nicht erhältlich, was im Moment ein Glück ist

 

[mad8811]

Gute Sendung, dass auf den Hack eingegangen wurde fand ich sehr gut.

Da es doch sehr aufwendig ist den Fingerabdruck zu kopieren, finde ich ihn sicherer als den Code. Wie in der Sendung erwähnt muss man ja nur jmd. beobachten wie er ihn eingibt, den Fingerabdruck zu "klauen" ist da schon deutlich komplizierter.

 

[User]

Eine Sicherheitslücke die seit Wochen bekannt ist? Gab es kein Update vom Softwarehersteller des Forums zum Zeitpunkt des Hacks?

 

[NeXT]

Ah, Genration Schulhof nun auch bei euch in der Sendung! Sehr cool wie ihr Integration vorlebt! So mausert sich ATLN zur echten Familiensendung!

 

[raven]

NeXT : Hast du die Ironietags vergessen?