Denne uken ble det kjent at tyske hackere hadde klart å lure fingeravtrykksleseren på Iphone 5s ved å fotografere et fingeravtrykk og skrive det ut på en gjennomsiktig folie som de klistret på en syntetisk finger.

Les også: Påstår å ha hacket Iphone 5S

Ved Høgskolen i Gjøviks avdeling for forskning på biometri er de ikke overrasket.

- Vi har ikke testet Iphone 5s selv ennå, men ut fra dokumentasjonen oppgir Apple at det er en kapasitiv sensor, som er enkel å lure. Alt Apple har gjort er tilsynelatende å øke følsomheten i sensoren utover hva som har vært vanlig hittil. Det betyr egentlig bare at man trenger et falskt fingeravtrykk med like høy oppløsning, skriver sivilingeniør Kamer Vishi ved Høgskolen i Gjøvik i en e-post til DN.no.

Han har skrevet en masteroppgave om nettopp denne teknologien.

Lever den?
En viktig teknologi for å gjøre fingeravtrykk til en sikker identifiseringsløsning er såkalt «liveness-detection», altså metoder for å finne ut om avtrykket som skannes er organisk eller syntetisk. Det er flere måter å gjøre dette på, for eksempel ved å sjekke om fingeren er strømførende, bruk av infrarødt lys og bruk av strenge analysealgoritmer. Apple oppgir at deres sensor bruker underhudsskanning, altså skanning av fingeravtrykk under det ytterste hudlaget, nettopp som en metode for å sjekke at fingeren er ekte.

Ikke laget for sikkerhet
- At TouchID likevel ble hacket forteller oss at Apples algoritme er for svak. De har spisset algoritmen mot bekvemmelighet for brukeren, ikke mot sikkerhet, sier dr. Bian Yang ved Høgskolen i Gjøvik i en e-post.

Han sier at fingeravtrykklesere kan gjøres svært sikre, men at høy sikkerhet koster mer, samtidig som selve sensoren blir større. Har man et svært sikkert system vil man heller ikke få godkjent et forsøk hvis ikke programvaren er helt sikker på at avtrykket er ekte, og dermed kan man bli stående og prøve flere ganger før man får låst opp telefonen.

En mindre krevende algoritme vil godkjenne flere såkalte falske positiver, og det er dette som har skjedd med hackingen av Iphone 5c - avtrykket er godt nok, men ikke perfekt.

- Vi venter ikke at små, rimelige sensorer som TouchID vil ha særlig sterk beskyttelse mot falske avtrykk, spesielt siden de hovedsakelig er til stede for bekvemmelighet for brukeren, sier dr. Yang.

Fortsatt positivt
Apples bruk av biometri - identifikasjon ved hjelp av kroppen - er likevel positivt. Det mener professor Christoph Busch ved Høgskolen Gjøvik.

- Vi gjorde en undersøkelse her ved høgskolen blant 1000 smarttelefonbrukere. 80 prosent av dem oppga at de ikke pin- eller passordbeskyttelse på sine telefoner, selv om de inneholdt sensitiv informasjon. Det er rett og slett for omstendelig for mange å taste en kode hver gang. Fingeravtrykkslesere som den Apple har introdusert er nettopp for disse 80 prosentene, den gir dem en brukervennlig måte å sikre seg på, sier professor Busch.

Han sier også at vi ikke må overvurdere betydningen av at sensoren til Iphone 5s kan lures.

- Man må fortsatt skaffe seg tilgang til offerets telefon, vite hvilken finger som brukes, få tak i et høyoppløst fingeravtrykk og lage en troverdig falsk finger. Først deretter får man åpnet telefonen. Hvis brukeren i tillegg ikke har lagret noen passord på telefonen er det ikke nødvendigvis så mye skade man kan gjøre, sier Busch.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.