Touch ID op iPhone: alles over de veiligheidsaspecten

Dit expertartikel bekijkt in detail de beveiliging van Touch ID vingerafdrukscanner in de iPhone 5s aan de hand van diverse aanvalsscenario's.

iPhone 5s: Touch IDEén van de belangrijkste toevoegingen aan de iPhone 5s is de vingerafdrukscanner met de naam Touch ID. Door deze sensor in de homeknop aan te raken ontgrendel je de iPhone 5s reken je aankopen in iTunes, iBookstore en App Store af. De toevoeging van Touch ID zou de beveiliging van gegevens op de iPhone 5s moeten verbeteren ten opzichte van eerdere toestellen, maar is dat ook zo? iPhoneclub bespreekt in vogelvlucht de eerste reacties van een aantal beveiligingsexperts op Apple’s vingerafdrukscanner aan de hand van diverse aanvalsscenario’s, van ordinaire diefstal van je toestel tot het beschermen van je gegevens tegen de National Security Agency (NSA).

De beveiliging van Touch ID

Tijdens de iPhone 5s aankondiging werd verteld dat bijna de helft van de iOS-gebruikers geen toegangscode instelt op het toestel. Zonder een dergelijke toegangscode worden gegevens op het toestel niet versleuteld opgeslagen. Een dief die fysieke controle over een oudere iPhone zonder toegangscode krijgt kan (al dan niet na het uitvoeren van een jailbreak) vrijwel alle gegevens van het toestel bemachtigen. In vergelijking met een toestel zonder toegangscode biedt Touch ID natuurlijk veel meer bescherming tegen ongeautoriseerde toegang tot je gegevens bij bijvoorbeeld diefstal van een privétoestel, omdat er dan een sterke vorm van versleuteling van je gegevens wordt toegepast.

Reguliere toegangscodeHet unieke karakter van een vingerafdruk staat ook in schril contrast met de viercijferige toegangscode die standaard gebruikt wordt voor versleuteling. Doordat er maximaal 10.000 variaties mogelijk zijn kan een dergelijke toegangscode (eenvoudig) gekraakt kan worden. Daar komt bij dat verdeling van toegangscodes over het spectrum ongelijk is. Bij een uitgebreid onderzoek naar viercijferige PIN codes, bleek bijna 11% te bestaan uit 1234. Circa 27% van alle PIN codes bleek te bestaan uit 20 populaire keuzes. Een complexe (en langere) toegangscode biedt over het algemeen een veel hogere mate van beveiliging, maar wordt in de praktijk maar zelden gebruikt.

Touch ID hardware

Om gebruik te maken van Touch ID wordt je vingerafdruk gelezen door een ultradunne sensor die identificerende details in de onderhuidse huidlagen herkent. De vingerafdrukscanner in de iPhone 5s is dus een capacitieve variant, die gebruik maakt van het verschillen in geleiding tussen de bovenste huidlaag en de huidlaag daar direct onder. Een capacitieve vingerafdrukscanner is daardoor moeilijker om de tuin te leiden dan een puur Gummy bear attack - ©2006 Dr. Amanda M. Holland-Minkley, Dept. of Information Technology Leadership, Washington & Jefferson Collegeoptische vingerafdrukscanner, die als het ware een foto maakt van je vingerafdruk met een digitale camera. Toch kan ook een capacitatieve vingerafdrukscanner alsnog om de tuin worden geleid afhankelijk van de implementatie. Een bekend voorbeeld is de gummy bear attack, die soms succesvol kan zijn omdat de gelatine van een gummy beertje een vergelijkbare capaciteit heeft als de huid van een vinger (~ 20 Mohm/cm).

Anders dan een wachtwoord is elke vingerafdruk in principe uniek. De vingerafdrukdata zelf wil je dan natuurlijk vooral ook veilig bewaren, waarvoor een aparte beveiligde “enclave” in de applicatieprocessor is ingericht waarin de gegevens versleuteld worden opgeslagen. De vingerafdrukdata zal volgens Apple nooit naar servers van het bedrijf worden verstuurd en zou alleen aangesproken kunnen worden door software, maar niet direct worden uitgelezen. Hoewel technische details op dit moment nog schaars zijn, klinkt het alsof er in feite een Trusted Platform Module binnen de A7-applicatieprocessor is ingericht, hetgeen een hoge mate van veiligheid van de vingerafdrukdata zou moeten bieden. Dit zou de zorgen van gebruikers kunnen wegnemen dat je vingerafdruk door de NSA kan worden gestolen.

Touch ID: beveiligde opslag

Hoe nauwkeurig de vingerafdrukscanner in de iPhone 5s is zal straks in de praktijk moeten blijken. De nauwkeurigheid is niet alleen afhankelijk van de gebruikte hardware, maar ook van de balans die door Apple gekozen is tussen de kans dat legitieme gebruikers geen toegang kunnen krijgen tot hun eigen toestel (false negative) en de kans dat aanvallers met een afwijkende vingerafdruk toegang verkrijgen tot het toestel (false positive). Beveiligingsexpert Bruce Schneier verwacht dat de keuze gemaakt is om liever false positives dan false negatives toe te laten, omdat de functie anders snel in de spreekwoordelijke prullenbak zou verdwijnen. Ondertussen waarschuwt Apple juist dat Touch ID soms niet werkt als een gebruiker vochtige vingers heeft of zich bijvoorbeeld heeft verwond, wat er juist op zou kunnen wijzen dat er is gekozen voor een striktere balans. Om gebruik te kunnen maken van Touch ID zul je daarom ook altijd een toegangscode in moeten stellen, die je moet invoeren als je het toestel opnieuw opstart of deze 48 uur niet ontgrendeld hebt. Daardoor worden de mogelijkheden die een aanvaller potentieel heeft overeenkomstig beperkt.

De risico’s van Touch ID

Fysieke toegang dankzij Touch IDEen risico dat kleeft aan het feit dat je vingerafdruk uniek is, is dat je een vingerafdruk ook niet kunt wijzigen. Als iemand toegang tot je vingerafdruk heeft kan dat dus verstrekkende gevolgen hebben. De lokale beveiliging van je vingerafdruk in de applicatieprocessor is hopelijk op orde, maar je vingerafdruk is wel op meer plaatsen te vinden. Een voor de hand liggende plaats bij normaal gebruik is bijvoorbeeld op het toestel of zelfs op de homeknop. Met wat relatief eenvoudige handelingen zou een aanvaller een onbewust achtergelaten vingerafdruk op je iPhone 5s kunnen afnemen en vervolgens kunnen gebruiken om toegang te verkrijgen tot je gegevens. Daarnaast zal het over het algemeen lastiger zijn om te voorkomen dat iemand (al dan niet ongemerkt) een vingerafdruk van je afneemt, dan dat het is om te voorkomen dat je toegangscode ontfutseld wordt. Het gedwongen afgeven van een vingerafdruk lijkt, in tegenstelling tot het gedwongen afgeven van een toegangscode, bijvoorbeeld niet beperkt te worden door het zwijgrecht van een verdachte.

L Scan Guardian ScannerJe vingerafdruk laat je niet alleen achter op je iPhone 5s of gebruiksvoorwerpen, maar moet je vaak ook aan overheden afstaan. Een voorbeeld daarvan is voor het Nederlandse biometrische paspoort, maar ook bij het betreden van onder andere de Verenigde Staten zul je (van al je vingers) een vingerafdruk moeten afstaan. Een belangrijke vraag die momenteel onbeantwoord is, is in hoeverre dergelijke vingerafdrukdata hergebruikt kan worden om toegang te verkrijgen tot een iPhone 5s. Afhankelijk van de werking van de gebruikte systemen zal een vingerafdruk namelijk mogelijk worden omgezet in een unieke set gegevens die wél identificerend zijn, maar niet altijd ook weer omgezet kunnen worden in een visuele representatie van de bewuste vingerafdruk die door een andere scanner gelezen zou kunnen worden. De systemen die worden gebruikt voor US-VISIT lijken overigens een dergelijke visuele representatie van gescande vingerafdrukdata mogelijk te maken.

Volgens beveiligingsblog Errata Security zal het voorlopig zo’n vaart niet lopen; over het algemeen zullen overheden beschikken over de vingerafdruk van de voorkant van je vingers, terwijl je de homeknop juist vaak met het topje van een vinger bedient. De vraag is vooral in hoeverre deze vingerafdrukken in de praktijk overlappen en hoe gevoelig de vingerafdrukscanner in de iPhone 5s is. Een gebrek aan overlap tussen beide typen vingerafdrukken zou zowel je redding kunnen zijn bij vingerafdrukken die je terloops hebt achtergelaten op gebruiksvoorwerpen als bij de vingerafdrukken die je in het verleden al hebt afgestaan aan overheden. Je kunt de overlap ook bewust proberen te beperken, door bijvoorbeeld expres alleen het topje van een vinger door de iPhone 5s te laten scannen.

De ene vingerafdruk is de andere niet

Conclusie

Touch ID op de iPhone 5sAls je tot nu toe geen toegangscode hebt ingesteld om bestanden op je iPhone te versleutelen, dan zal het gebruik van Touch ID op de iPhone 5s er zeker voor zorgen dat je gegevens beter beschermd worden. Als je normaliter wél gebruik zou maken van een toegangscode, dan biedt Touch ID een aanvaller potentieel de mogelijkheid om deze toegangscode te omzeilen binnen een periode van maximaal 48 uur. Of dit een acceptabel risico is zal onder andere afhangen van het type aanvaller waar je het toestel tegen wilt beschermen. Ben je met name bang voor dieven die het primair om de waarde van je toestel gaat, maar die misschien ook wel geïnteresseerd zijn in je gegevens? Dan zal de noodzaak om je vingerafdruk na te maken om toegang te krijgen tot je versleutelde gegevens de meeste aanvallers wel tegen houden. Als Apple de lokale opslag van de vingerafdrukdata ook goed geregeld heeft, dan is de kans bovendien uitermate klein dat deze gegevens ooit het toestel nog zouden verlaten nadat ze in de applicatieprocessor zijn opgeslagen en op die manier misbruikt zouden kunnen worden.

Als het gaat om de bescherming van gegevens tegen geavanceerde aanvallers zoals het geval is bij spionage door concurrenten of overheden, en als je anders gebruik zou maken van een (complexe) toegangscode, dan kan de Touch ID ook een stap achteruit betekenen. Een belangrijke vraag die niet zomaar beantwoord kan worden, is in hoeverre bestaande vingerafdrukdata van overheden hergebruikt kunnen worden om een visuele representatie van een vingerafdruk te kunnen maken die weer voor Touch ID gebruikt zou kunnen worden. Als dat kan, zou je misschien nog beschermd kunnen worden door een gebrek aan overlap tussen de vingerafdruk die ze van je hebben en het gedeelte van je vinger waarmee je de homeknop indrukt. Als je vertrouwelijke gegevens op een iPhone 5s wilt beschermen tegen geavanceerde aanvallers maar toch gebruik wilt maken van Touch ID, dan zou je er mogelijk alsnog voor kunnen kiezen om in risicovolle situaties (zoals het betreden van een transitzone) tijdelijk over te stappen op het exclusieve gebruik van een complexe toegangscode. Een andere mogelijkheid is om het toestel opnieuw op te starten, zodat de toegangscode vereist zal zijn voordat Touch ID weer gebruikt kan worden.

Aangezien Apple onder de Amerikaanse Patriot Act valt kan het bedrijf, net zoals elke individuele werknemer daarvan, gedwongen worden om mee te werken met Amerikaanse politie- en inlichtingendiensten. In de afgelopen maanden is gebleken dat de NSA de gegevens van smartphonegebruikers buitengewoon interessant vindt en speciale teams heeft ingericht om deze te kunnen bemachtigen. Een mogelijkheid die daarbij kan worden ingezet, is het dwingen van bedrijven om actief mee te werken om een in theorie sterke beveiliging te verzwakken. Het is daarom ook van belang dat de implementatie van Apple’s vingerafdrukscanner zo wordt uitgevoerd dat de vingerafdrukdata van Apple’s klanten zelfs voor Apple zelf op geen enkel moment toegankelijk is. Zoals iOS beveiligingsexpert Stefan Esser al benadrukte is het om deze reden van belang dat de iPhone 5s op termijn gejailbreakt kan worden, zodat onafhankelijke experts de veiligheid van Apple’s implementatie ook daadwerkelijk kunnen toetsen.

Over de auteur

Paul Pols (@paulpols) schrijft sinds oktober 2009 voor iPhoneclub over onderwerpen die gerelateerd zijn aan beveiliging en/of jailbreaken. Sinds oktober 2011 is Paul tevens werkzaam als Cybercrime Security Expert bij Fox-IT en voert in dat kader onder andere penetratietesten uit op iOS apparatuur en applicaties. Het bovenstaande blogartikel is deels geschreven op basis van zijn kennis en ervaring, maar is op persoonlijke titel gepubliceerd.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt april 2016
Categorie Devices
Onderwerpen beveiliging, iPhone 5s, touch id, vingerafdruk
Devices iPhone 5s, iPhone 6, iPhone 6 Plus, iPhone 6s, iPhone 6s Plus, iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus, iPhone SE, iPhone X
Software iOS