Биометрические сканеры в гаджетах — не защита, а лишь способ идентификации людей

Общепринятое мнение гласит, что отпечаток пальца обеспечивает более надёжную защиту данных, чем пароль или PIN-код. Так ли это?

Немецкий специалист по безопасности Ян Крисслер, известный в закерском сообществе под кличкой Starbug, наглядно доказал ошибочность этого мнения. Он выступал на ежегодном слёте хакеров Chaos Communication Congress в Германии и показал, как можно на основе всего нескольких фотографий высокой чёткости подделать отпечаток пальцы любой жертвы и с лёгкостью взломать её смартфона. В качестве примера он привёл министра обороны Германи Урсулу фон дер Ляйен.

Starbug использовал коммерчески доступное приложение VeriFinger и несколько фотографий госпожи фон дер Ляйен — в том числе взятую из пресс-релиза, который опубликовала пресс-слуюжа Министерства обороны и сделанную им самим с расстояния трёх метров от чиновницы. Хакер получил снимок отпечатка пальца фон дер Ляйен и при желании мог бы сделать из него физический слепок. Этот слепок затем можно использовать для взлома смартфона, но для этого необходимо получить физический доступ к нему. Потенциальные злоумышленники могли бы взломать любой смартфон, оснащённый сканером отпечатков пальцев всего при двух условиях: его владелец позволяет фотографировать себя или где-нибудь в сети есть фотографии его рук с достаточно высоким разрешением.

«Теперь, когда я рассказал об этом, политики, наверное, будут носить на публике перчатки», — мрачно пошутил хакер.

Starbug рассказал ещё об одной потенциальной опасной уязвимости современных смартфонов, при которой злоумышленник получает контроль над камерой (это возможно достаточно легко — например, после установки какого-либо приложения и выдачи ему права использовать камеру). В этом случае «вирус» может периодически делать фотографии и отправлять их хакеру, а тот по отражению в глазах пользователя сможет увидеть содержимое экрана (переписку, отчёты, фотографии и прочее). Чем выше разрешение фронтальной камеры смартфона, тем выше шанс допустить утечку конфиденциальной информации

Starbug известен тем, что в 2013 году ему удалось обмануть сенсор TouchID в iPhone 5s менее чем за сутки с момента появления устройства в продаже. Он скопировал отпечаток пальца, оставленный на стекле смартфона и напечатал поддельный палец с этим отпечатком при помощт клея и графена. iPhone 5s не смог отличить поддельный палец от настоящего. Теперь Starbug рассказал о дистанционном способе получения отечатка пальца жерты, хотя без физического доступа к смартфону всё равно не обойтись, иначе взлом невозможен. В любом случае, узнать или подобрать пароль от смартфона было бы гораздо сложнее.

Из доклада хакера можно сделать такой вывод: сканирование отпечатка пальца, лица, радужной оболочки глаза и других биометрических параметров человек — все это вещи, которые лишь помогают подтвердить личность, но использовать их вместо пароля было бы ошибкой.

А вы доверяете сканерам отпечатков пальцев или предпочитаете по-старинке использовать пароли?

Добавить комментарий