Назад » » 2018 » Август » 28

Считыватели отпечатка пальца на смартфонах – какие риски

Поставщики утверждают, что биометрические датчики облегчают эксплуатацию аппарата и повышают его безопасность. Правда ли это? Не до конца, потому что датчики не лишены уязвимостей. Старые емкостные сканеры с трудом узнают мокрые пальцы, и во многих случаях не работают без проблем.

Таким образом, если ваши руки вспотеют, смартфон может не узнать Вас и отказать в сотрудничестве. Вероятность распознавания уменьшают также любые шрамы, царапины или другие повреждения кожи. Более того, многие датчики не могут отличить настоящий палец от напечатанного на 3D-принтере – и это действительно серьезная уязвимость.

Безопасность сканирования отпечатка пальца на смартфоне

Часть из этих проблем может исчезнуть, когда компания Qualcomm представит ультразвуковой датчик, который для сканирования 3D изображения пальца использует ультразвук. Его не удастся обмануть муляжом пальца, и – что очень важно – работает даже в том случае, если палец мокрый или грязный. Хотя это не решит он всех угроз.

Новые технологии всегда имеют изъяны – потому что они новые. Сложно придумать очередную инновацию и сразу учесть все возможные уязвимости, не все поставщики в состоянии это сделать. И даже если они отвечают этой задаче, безусловно, они не сделают этого в первой версии.

Не так давно эксперт по безопасности обнаружили, что смартфоны HTC One Max и Samsung Galaxy S5 сохраняли фотографии отпечатков пальцев в файле, который не был зашифрован и который могло считывать любое приложение, работающее с расширением .bmp – так же, как это имеет место в случае обычных файлов с битмаповой графикой. Любая программа, которая имела доступ к фотографиям пользователя и сети интернет, могла их украсть. Вскоре, после выявления проблемы, разработчики установили защиту, но кто может гарантировать, что они не допустят подобных ошибок в новых телефонах и версиях операционных систем.

Некоторые производители (например, Huawei) для защиты данных на своих устройствах используют технологию ARM TrustZone. Во время работы с изображениями отпечатков она создаёт специальную «виртуальную среду», которая недоступна на уровне операционной системы. В результате ключевые данные (например, отпечатки пальцев) не могут быть использованы сторонними приложениями. К сожалению, в зависимости от модели реализации, эта технология также может иметь уязвимости.

Не верьте, когда кто-то говорит, что отпечатком пальца нельзя поделиться с кем-то другим. В этом году исследователи показали, как легко можно украсть отпечаток пальца – удаленно, даже без контакта лицом к лицу. Это можно сделать с помощью хорошего качества изображения отпечатка пальца жертвы. Просто нужна камера SLR с безупречной возможностью приближения или даже фотография, напечатанная в высоком разрешении. Кстати, такой же метод может быть использован для обмана сканера радужной оболочки глаза.

Если Ваш пароль станет известен, вы можете изменить его в течение нескольких минут; но что делать с отпечатком пальца – он будет с Вами до конца вашей жизни. Что произойдёт, если он будет украден?

Не следует полностью верить маркетинговым обещаниям популярных производителей. Если у вас есть смартфон со встроенным датчиком отпечатка пальца, учитывайте несколько следующих советов:

  1. Не верьте заверениям производителей и не используйте сканер отпечатка для авторизации транзакций в PayPal или других платежных сервисах. Это не безопасно. Сегодня телефон в ваших руках, а завтра его могут украсть. Вор может с легкостью скопировать ваши отпечатки пальцев прямо с поверхности экрана телефона и использовать их, чтобы что-то купить себе. Взлом паролей – это сложнее, но только тогда, когда их действительно используют.
  2. В качестве своего биометрического логина, пользователи, как правило, используют указательный палец или большой палец. Это удобно, но рискованно, потому что именно они используются чаще всего при работе с телефоном. Можно найти отпечаток этих пальцев на вашем телефоне и создать их макета. Лучше использовать мизинец или безымянный палец на левой руке у правшей и на правой руке у левшей.
  3. Сканера отпечатков пальцев недостаточно для обеспечения надежной защиты ваших личных данных. Если вы заботитесь о конфиденциальности, подумайте об использовании специального приложения, которое поможет отследить украденный телефон, дистанционно удалить все данные с устройства или скрыть историю сообщений и список контактов от любопытных глаз.

В целом, сканер отпечатков – это отличное изобретение, которое является более полезным, чем вредным. Но нельзя на него слишком полагаться, – используйте новые технологии разумно и не отказывайся от паролей, двухэтапной проверки и других средств защиты.



avatar