Цивилизация
Вопрос о надежности защиты данных с помощью отпечатка пальца был поднят на конференции экспертов по разработке систем безопасности Black Hat в Лас-Вегасе. Эксперты из FireEye повергли публику в шок, когда рассказали, что в некоторых Android-смартфонах отпечатки пальцев хранятся в незашифрованном виде.
В частности, специалисты выяснили, что в аппарате HTC One Max отпечатки пальцев находятся в общем разделе файловой системы в виде незащищенного графического файла dbgraw.bmp. Эти данные также уязвимы на аппаратах Samsung и Huawei.
В результате злоумышленники с помощью любого вредоносного процесса или приложения могут получить доступ к данному изображению в высоком разрешении.
Хакеры также могут использовать поддельные экраны блокировки для аутентификации личности в популярных платежных системах с целью перехвата денежных переводов и хищения средств. В заключение эксперты отметили, что многие производители мобильных устройств на базе Android не используют технологию TrustZone для защиты биометрических данных.
А поскольку к 2019 году половина всех проданных мобильных устройств будет оснащена сканером отпечатков пальцев, злоумышленники смогут не только массово похищать данные, но и добавлять свои отпечатки пальцев, тем самым блокируя доступ к устройству.
В то же время эксперты отметили, что на большинстве Android-смартфонов дактилоскопические датчики защищены слабее, чем на iPhone. Смартфоны Apple шифруют изображение отпечатка, так что, даже получив доступ к данным, хакеры не смогут прочитать его без криптографического ключа.
По словам антивирусного эксперта «Лаборатории Касперского» Сергея Ложкина, если скан отпечатка, хранящийся в телефоне, каким-то образом попадет к киберпреступникам, то сделать дубликат пальца будет достаточно несложно. «И, соответственно, они смогут получить доступ ко всем устройствам, где используется ваш отпечаток», — добавил эксперт.
Он также отметил, что телефону неважно, используется ли настоящий палец или его резиновый клон.
Получение отпечатков пальцев на самом деле не такой сложный процесс, ведь мы оставляем их в буквальном смысле везде. Более того, есть способы получения отпечатка и вовсе без доступа к нему. Немецкий хакер Ян Крисслер смог изготовить копию пальца министра обороны Германии всего лишь по ее фотографиям с публичного выступления, сделанным с расстояния в 3 м.
До этого Крисслеру удалось получить действующий отпечаток пальца прямо со сканера отпечатков iPhone 5S. Для этого он использовал всего лишь клей для дерева и графен.
Впрочем, получить доступ к данным, скрытым с помощью отпечатка пальцев, как показал пытливый ум ревнивых жен, можно гораздо проще: они просто прикладывали сканер к пальцу своих супругов, пока те спали.
Как рассказал «Газете.Ru» руководитель отдела маркетингового и технического сопровождения продуктов ESET Алексей Оськин, в скором времени, когда защита данных с помощью отпечатков пальцев будет иметь массовый характер, злоумышленники сразу же обратят на это внимание.
«Начнется охота на биометрические данные пользователей, и рано или поздно они окажутся в руках злоумышленников, если не предпринимать специальных мер по их защите», — предупреждает эксперт.
При этом, по словам Оськина, пользователи вряд ли сами смогут что-то сделать для защиты своих отпечатков, так что для них есть только один вариант: банально не использовать отпечатки пальцев как основной тип аутентификации.
С ним согласен и Сергей Ложкин. Обезопасить себя можно, используя комбинацию из отпечатка пальца и пароля, считает он. «Кроме того, рекомендуется все же установить пароль посложнее. Это не слишком удобно, но зато надежно», — указал эксперт.
В то же время если говорить о наиболее оптимальном способе аутентификации при помощи одного фактора защиты, то отпечаток пальца все же выглядит надежнее пароля, считает Алексей Оськин. «Но вопрос состоит не в том, какой из способов надежнее, а в том, насколько опасно использовать отпечатки пальцев как единственный фактор аутентификации, — отметил эксперт.
В то же время Ложкин абсолютно уверен, что пароль в любом случае будет более надежным способом защитить данные, чем отпечаток пальца.
По мнению Оськина, крупные технологические компании, активно внедряющие подобные способы аутентификации, а также государственные организации и специалисты по информационной безопасности должны вырабатывать единую политику по дальнейшему развитию подобных механизмов защиты данных, а также принимать стандарты безопасности шифрования и хранения данных о биометрических факторах.
Одним из решений потенциальной проблемы эксперт называет использование двухфакторной аутентификации, где главным ключом входа выступает пароль, но при этом вместе с ним авторизация производится и с помощью других способов: дополнительных одноразовых паролей, графического ключа или сканера сетчатки глаза.