Een groep Duitse hackers en beveiligingsonderzoekers beweert de vingerafdruklezer van de Apple iPhone 5S gekraakt te hebben. Het biometrische hackingteam van de Chaos Computer Club (CCC) gebruikte een foto van een vingerafdruk en eenvoudig te verkrijgen spullen om een nepvinger te maken.

Deze nepvinger wist vervolgens het toestel te ontgrendelen. De iPhone 5S beschikt over Touch ID, een vingerafdruklezer die ervoor zorgt dat gebruikers met alleen hun vingerafdruk kunnen inloggen. Volgens de onderzoekers is de vingerafdruklezer van Apple helemaal niet zo revolutionair als wordt beweert, maar gebruikt die alleen een hogere resolutie dan voorgaande sensoren.

Ongeschikt

De onderzoekers stellen dan ook dat vingerafdrukken ongeschikt als toegangsmethode zijn en vermeden zouden moeten worden. "Zoals we al jaren zeggen, vingerafdrukken zouden niet moeten worden gebruikt voor het beveiligen van wat dan ook. Je laat ze overal achter en het is te eenvoudig om een nepvinger te maken aan de hand van afdrukken die ergens vanaf zijn gehaald", aldus hacker Starbug, die meewerkte aan het omzeilen van Touch ID.

De hackers van CCC hebben een handleiding gemaakt waarin staat hoe gebruikers zelf vingerafdrukken kunnen namaken. Roze latexmelk of witte houtlijm wordt in een patroon gesmeerd dat door een printer op een transparante sheet is gemaakt. De latexafdruk wordt vervolgens van de sheet gehaald en met de adem iets vochtig gemaakt, waarna de telefoon te ontgrendelen is.

"We hopen dat dit een einde aan de illusie maakt die mensen over vingerafdrukbiometrie hebben. Het is gewoon onverstandig iets te gebruiken dat je niet kunt wijzigen en dat je elke dag overal als een security-token achterlaat", stelt CCC-woordvoerder Frank Rieger. De CCC maakte ook onderstaande video.

Wedstrijd

Op dit moment wordt de werkwijze van de CCC-onderzoekers nog onderzocht. Vorige week verzamelden hackers en onderzoekers ruim 16.000 dollar bij elkaar voor de eerste persoon die met een ergens vanaf gehaalde vingerafdruk de iPhone kon ontgrendelen. De website istouchidhackedyet.com gaf eerst als antwoord 'No' maar stelt nu 'Maybe', met een opmerking dat er nog op een video voor analyse wordt gewacht.