З виходом iPhone 5S виробники смартфонів стали масово впроваджувати захист даних з допомогою сканера відбитків пальців. Однак експерти впевнені, що подібний метод захисту, незважаючи на гадану надійність, насправді становить неабияку небезпеку для користувачів.
Питання про надійність захисту даних за допомогою відбитка пальця був піднятий на конференції експертів з розробки систем безпеки Black Hat в Лас-Вегасі. Експерти з FireEye шокували публіку у шок, коли розповіли, що в деяких Android-смартфонах відбитки пальців зберігаються в незашифрованому вигляді.
Зокрема, фахівці з’ясували, що в апараті HTC One Max відбитки пальців знаходяться в загальному розділі файлової системи у вигляді незахищеного графічного файлу dbgraw.bmp. Ці дані також вразливі на апаратах Samsung і Huawei.
В результаті зловмисники за допомогою будь-якого шкідливого процесу або програми можуть отримати доступ до даного зображення у високому дозволі.
Хакери також можуть використовувати підроблені екрани блокування для аутентифікації особистості в популярних платіжних системах з метою перехоплення грошових переказів і розкрадання коштів. Насамкінець експерти відзначили, що багато виробників мобільних пристроїв на базі Android не використовують технологію TrustZone для захисту біометричних даних.
А оскільки до 2019 року половина всіх проданих мобільних пристроїв буде оснащена сканером відбитків пальців, зловмисники зможуть не тільки масово викрадати дані, але і додавати свої відбитки пальців, тим самим блокуючи доступ до пристрою.
У той же час експерти відзначили, що на більшості Android-смартфонів дактилоскопічні датчики захищені слабкіше, ніж на iPhone. Смартфони Apple шифрують зображення відбитка, так що, навіть отримавши доступ до даних, хакери не зможуть прочитати його без криптографічного ключа.
На iPhone відбиток пальця вкрасти складніше, ніж на Android-смартфонах
За словами антивірусного експерта «Лабораторії Касперського» Сергія Ложкіна, якщо скан відбитка, що зберігається в телефоні, якимось чином потрапить до кіберзлочинцям, то зробити дублікат пальця буде достатньо нескладно. «І, відповідно, вони зможуть отримати доступ до всіх пристроїв, де використовується ваш відбиток», — додав експерт.
Він також зазначив, що телефоном неважливо, чи використовується цей палець або його гумовий клон.
Отримання відбитків пальців насправді не такий складний процес, адже ми залишаємо їх у буквальному сенсі скрізь. Більше того, є способи отримання відбитка і зовсім без доступу до нього. Німецький хакер Ян Крисслер зміг виготовити копію пальця міністра оборони Німеччини лише за її фотографіями з публічного виступу, зробленим з відстані в 3 м.
До цього Крисслеру вдалося отримати чинний відбиток пальця прямо зі сканера відбитків iPhone 5S. Для цього він використовував лише клей для дерева і графен.
Втім, отримати доступ до даних, прихованим за допомогою відбитка пальців, як показав допитливий розум ревнивих дружин, можна значно простіше: вони просто прикладали сканер до пальця своїх подружжя, поки ті спали.
Як розповів «Газете.Ru» керівник відділу маркетингу та технічного супроводу продуктів ESET Олексій Оськін, незабаром, коли захист даних з допомогою відбитків пальців буде мати масовий характер, зловмисники відразу ж звернуть на це увагу.
«Почнеться полювання на біометричні дані користувачів, і рано чи пізно вони опиняться в руках зловмисників, якщо не вживати спеціальних заходів щодо їх захисту», — попереджає експерт.
При цьому, за словами Оськіна, користувачі навряд чи самі зможуть щось зробити для захисту своїх відбитків, так що для них є тільки один варіант: банально не використовувати відбитки пальців як основний тип аутентифікації.
З ним згоден і Сергій Ложкін. Убезпечити себе можна, використовуючи комбінацію з відбитка пальця та пароля, вважає він. «Крім того, рекомендується встановити пароль складніше. Це не дуже зручно, але зате надійно», — зазначив експерт.
У той же час, якщо говорити про найбільш оптимального способу аутентифікації за допомогою одного фактора захисту, то відбиток пальця все ж виглядає надійніше пароля, вважає Олексій Оськін. «Але питання полягає не в тому, який із способів надійніше, а в тому, наскільки небезпечно використовувати відбитки пальців як єдиний фактор аутентифікації, — зазначив експерт.
У той же час Він абсолютно впевнений, що пароль у будь-якому випадку буде більш надійним способом захистити дані, що відбиток пальця.
На думку Оськіна, великі технологічні компанії, що активно впроваджують подібні способи аутентифікації, а також державні організації та фахівці з інформаційної безпеки повинні виробляти єдину політику щодо подальшого розвитку подібних механізмів захисту даних, а також приймати стандарти безпеки для шифрування і зберігання даних про біометричні факторах.
Одним з рішень потенційної проблеми експерт називає використання двофакторної аутентифікації, де головним ключем входу виступає палець, але при цьому разом з ним авторизація проводиться і за допомогою інших способів: додаткових одноразових паролів, ключа або сканер сітківки ока.