Оригинал материала находится по адресу gosvopros.ru/job/qualification/s8/
20.04.2017

Почему не стоит полагаться на биометрическую защиту в телефоне

Выход нового флагманского смартфона Samsung, Galaxy S8, сопровождается большими ожиданиями по защищённости. Телефоны давно научились распознавать своих владельцев по так называемым биометрическим признакам: отпечатку пальца, например, или лицу. Но в S8 применён сразу целый набор таких технологий. Так что он как будто бы должен стать первым мобильным телефоном, которому действительно можно доверить секреты. Однако, чтобы не расстраиваться потом из-за украденной информации, стоит знать, какова реальная стойкость каждого применённого в S8 элемента.

То, что S8 станет на ближайшие месяцы самым ярким продуктом в мире мобильной электроники, нет никаких сомнений. Он и должен быть таким — после скандала с «взрывающимся» Galaxy Note 7. Огромный дисплей, много памяти, мощный процессор, но что совершенно уникально, так это сразу три биометрических механизма. Пользователь может подтверждать свою личность распознаванием по лицу (это делает передняя камера), по отпечатку пальца (сенсор спрятан на спинке телефона), либо даже совсем уж новомодным способом по радужке глаза.

Считается, что по устойчивости к взлому три этих механизма расположены именно в таком порядке: проще всего обмануть первый, сложнее второй и почти невозможно третий. И конечно, Samsung использует это в своей рекламе. Но будьте осторожны: фразы типа «защищённость военного уровня» в данном случае следует воспринимать с долей скепсиса. И вот почему.

Некий энтузиаст поставил забавный эксперимент. Он попытался разблокировать S8, настроенный на распознавание лица, но вместо лица предъявил собственное селфи, изображённое на экране другого телефона. Обмануть S8 удалось почти сразу. Смешно, насколько это просто, но хуже, что это ещё и не ново: подобный трюк с фотографией вместо живого человека демонстрируют уже несколько лет — и тот факт, что S8 ему тоже подвержен, говорит, что принципиально защитный механизм здесь не изменился.

Что ж, есть ведь ещё отпечаток пальца. Но и с ним не рассчитывайте на высокую защищённость. Ещё год назад были продемонстрированы несколько способов воспроизведения папиллярного узора, как непосредственно с пальца, так и даже с фотографии. Первый способ подойдёт, если удастся заставить жертву (например, обманом) «отпечатать» свой пальчик. Палец прикладывается к капле быстрозатвердевающего вещества, позаимствованного у стоматологов (знаете пасту, которой заполняют рот при снятии слепков на протезировании?) и, когда капля застынет, с неё делают желатиновый оттиск. Этот оттиск и становится «поддельным пальцем»: его можно прикладывать к телефону.

Другой способ требует наличия лишь качественного снимка руки жертвы. Узор вырезают в «Фотошопе», печатают на 3D-принтере, а потом так же, как в предыдущем опыте, делают с него оттиск.

Однако последние дни принесли новость даже хуже. Учёные научились делать универсальные отпечатки пальца! То есть нет нужды «снимать пальчики» у жертвы: достаточно составить и напечатать несколько универсальных отпечатков — и с их помощью откроется почти любой смартфон, защищённый папиллярным узором. Как такое может быть? Дело в том, что у смартфонов (и S8 не исключение) слишком маленький пальцевый сенсор: полноразмерный просто негде разместить! Такой сенсор охватывает не полностью подушечку пальца, а лишь её часть. И это значит, что завитков на таком отпечатке сравнительно немного. Вот почему можно составить универсальный отпечаток, завитки которого повторяют наиболее распространённые у людей.

Исследователи сымитировали это на компьютере, показав, что с помощью всего лишь пяти универсальных отпечатков можно разблокировать каждый второй смартфон. На практике они опыт повторить не пытались (учёные всё-таки, а не взломщики), но и этих данных достаточно, чтобы поставить точку в дискуссии, в какой степени можно доверять защите телефона с помощью отпечатка пальца.

Остаётся радужка. С ней сложнее. Если отпечаток пальца содержит информацию примерно о десятках точек, то радужка — это сотни точек. Однако и здесь хакеры успели приложить руку. Больше года назад было показано, как обмануть технику, распознающую радужную оболочку глаза. Нужна для этого всего хорошая фотография жертвы, на которой глаза получились ярко. С помощью «Фотошопа» радужка выделяется и распечатывается на контактную линзу на лазерном принтере. Всё, защита обманута.

Скептики заметят, что всё это по большей части — опыты, демонстрируемые в лабораториях. Что громких настоящих преступлений с применением этих методов совершено не было. Что ж, это правда. И всё же правильным будет посмотреть на ситуацию вот под каким углом: если обман биометрических сенсоров телефона возможен лабораторно, значит, однажды (и раньше, чем хотелось бы) те же методы возьмут на вооружение уже настоящие злоумышленники. Поэтому самое время задуматься, как не стать жертвой.

Главное правило здесь такое (и оно уже звучало в этой колонке): не храните служебные секреты на личных цифровых устройствах. Вы не знаете, кому и зачем могут приглянуться конфиденциальные данные, к которым вы имеете доступ. «Супернадёжная» биометрическая защита не сможет пока ваши данные защитить. Да она и не для того в телефоны встроена!

А для чего же? Обычно всего лишь чтобы облегчить пользование телефоном. Отпечаток пальца, радужка и даже распознавание лица отлично защитят ваш мобильник от посягательств детей, супруга и, не дай бог, излишне любопытных коллег. Разблокировать телефон биометрией действительно удобней и быстрей, чем, например, паролем. Но это и всё. Не доверяйте ему ценных сведений!


мобильные_устройства,биометрия,Galaxy_S8,радужка