Хакеры научились обманывать биометрику
Хакеры из Security Research Labs научились обходить биометрическую защиту Galaxy S5. На днях Samsung выпустил свой новый флагман Galaxy S5. Его главной отличительной особенностью стала биометрическая защита — сканер отпечатка пальца, привязанный к платежной системе PayPal. С его помощью пользователю предлагается подтверждать свои покупки в интернете, просто прикладывая палец к экрану смартфона.
По заявлению самого PayPal, эта система куда более надежна, чем традиционные пароли. И в теории, в будущем, это решение должно полностью их заменить. Однако подобные заявления о надежности действуют на некоторых людей, как красная тряпка на быка. Многие тут же ринулись проверять новую систему защиты на прочность.
Первыми оказались исследователи из Security Research Labs. Они взломали биометрическую систему защиты Samsung Galaxy S5 спустя всего 4 дня после релиза смартфона, скомпрометировав тем самым не только сам аппарат, но и всю концепцию отказа от традиционных паролей.
Как и любой другой сканер отпечатков, биометрический датчик Galaxy S5 можно обмануть при помощи заранее подготовленной копии пальца. Фотография отпечатка в хорошем разрешении была отредактирована на компьютере, а затем распечатана на пленке, которую затем покрыли тонким слоем столярного клея.
Точно так же взломали и Touch ID на iPhone 5S. Но тут нужно отметить, что и задачи биометрического логина у двух компаний разные. Текущая версия Touch ID позволяет только разблокировать телефон и автоматически войти в iTunes. Более того, технология Apple закрытая — ей не делятся даже с iOS-разработчиками.
Тем временем, решение, интегрированное в Galaxy S5, служит не только для разблокировки телефона, но и для авторизации PayPal, а, следовательно, и требования к безопасности у нее выше. К тому же эта технология открытая, то есть доступная всем разработчикам. Ее созданием занималась FIDO Alliance совместно с IT-грандами в лице Google и Microsoft, а также крупными финансовыми компаниями, такими как Bank of America и MasterCard. В основе этой системы лежит протокол Zero-Knowlegde Proof. Принцип его работы прост: биометрические данные, такие как радужка глаза или отпечаток пальца, проверяются на самом аппарате. В случае их подтверждения, система открывает защищенный криптографический ключ, который и используется сторонними компаниями в интернете. Таким образом, личная информация пользователя остается на телефоне и не попадает на сервера PayPal. А, значит, и украсть её можно только завладев одновременно и телефоном, и копией отпечатка пальца его владельца.
Таким образом, FIDO Alliance разработали отдельную платформу, независящую от средств ввода. То есть пользоваться ей можно будет не только на Galaxy S5, но и на любом другом устройстве с биометрическим сканером. Более того, тип сканера тоже не имеет значения. Им может являться и сканер отпечатка пальца, и роговицы глаза, и даже USB-ключ, не говоря уже о до сих пор неиспользуемых или еще не изобретенных способах авторизации. Это дает определенную свободу разработчикам "железа" — они вольны экспериментировать с технологией прямо сейчас, не зацикливаясь на одних только отпечатках (в отличие от Apple).
Таким образом FIDO Alliance намеревается бороться с морально устаревшими знаковыми паролями, воровство которых обходится компаниям в миллиарды долларов и упростить онлайн коммерцию. Однако первая итерация этой системы, встроенная в Galaxy S5, уже поставила планы FIDO Alliance под угрозу. Простота взлома сканера отпечатков может вызвать у пользователей недоверие к новой системе защиты, а следовательно — её бойкот. Для того, что бы этого не случилось, PayPal тут же выступил с официальным заявлением. По словам представителей, ключ сломанного или украденного устройства может быть деактивирован или создан заново, а в тех случаях, когда мошенничество уже произошло, соответствующие транзакции на счете PayPal покрываются программой защиты покупателей.