06/03/2017

Palce i oczy na MWC 2017

Informacje Porady

Wiele już napisaliśmy o niebezpiecznych czujnikach odcisków palców i innych technologiach biometrycznych. Oczywiście, nie jesteśmy wyjątkiem.

Poruszanie tego tematu wyszło na dobre. Podczas Światowego Kongresu Technologii Mobilnych 2017 (ang. Mobile World Congress, MWC) w Barcelonie wielu producentów inteligentnych czujników zaprezentowało urządzenia, które oferują większe bezpieczeństwo, niż podejrzewaliśmy.

Ewolucja czytników odcisków palców

Według norweskiej firmy IDEX, produkującej czytniki odcisków palców dla LG i innych firm, większość współpracujących z nią producentów smartfonów ograniczyła dostęp do danych pobieranych przez czujniki odcisków tylko do bezpiecznego środowiska.

Podczas MWC rozmawiałem z wieloma twórcami czytników odcisków palców i dowiedziałem się, że wszyscy w pełni zabezpieczają przetwarzanie takich danych. Najpierw „surowe” dane z czytnika palców zostają zaszyfrowane, następnie system wykrywa charakterystyczne linie, które również szyfruje, i wysyła te dane do chronionej pamięci. Wszystkie działania odbywają się w zaufanym środowisku do wykonywania zadań — czyli w izolowanej przestrzeni, do której nie ma dostępu żaden proces zewnętrzny.

Chociaż kilku producentów czytników wciąż umożliwia firmom produkującym gadżety podjęcie własnej decyzji o używaniu tego mechanizmu zabezpieczającego, dane zawsze są bezpiecznie szyfrowane na drodze z czujnika do procesora. I jest to świetna wiadomość, gdyż była to główna wada technologii sczytywania odcisków palców.

Producent czytników odcisków CrucialTec sprawił, że biometria jest jeszcze bardziej… biometryczna, dodając do skanerów odcisków czujniki tętna. Jest to element zabezpieczenia, który ma sprawić, aby nie zadziałały wydrukowane w technologii 3D kopie palców, palce wykonane z gipsu, a nawet prawdziwe palce ucięte właścicielowi. Tak samo jest w przypadku zwykłych kopii linii papilarnych palców przygotowanych przy użyciu tradycyjnej drukarki.

System ten sprawdza linie, aby potwierdzić ich podobieństwo, ale nie odblokuje smartfona, dopóki nie wykryje bicia serca. To poważny krok naprzód w bezpieczeństwie uwierzytelniania odcisków. Lec zaradni przestępcy bez wątpienia znajdą sposób na obejście tej technologii — na przykład dzięki kopii linii palców przyciśniętej do skanera przez prawdziwy, żywy palec innej osoby. Chociaż nie będzie to takie łatwe.

Pewna firma z Chin zaprezentowała niezwykłe zastosowanie: skaner odcisków umieszczony bezpośrednio na wyświetlaczu smartfona. Innowacja miała kilka ograniczeń: po pierwsze, jedyny egzemplarz pozostawał w Chinach, więc firma nie mogła w pełni zaprezentować swojej technologii. Poza tym nie wiadomo jeszcze, w jaki sposób użytkownicy będą się dowiadywać, której części wyświetlacza należy dotknąć, gdyż czujnik ten nie jest wyraźnie widoczny. W zeszłym roku firma IDEX zaprezentowała podobny pomysł, lecz pozostał on w fazie koncepcji.

Nawiasem mówiąc, wg producentów czytniki odcisków nie są ograniczone tylko do gadżetów: można je zastosować w zamkach drzwi lub kluczach do auta. Niektóre firmy oferują elastyczne i bardzo cienkie czujniki, z których można zrobić element karty bankowej.

Technologia ta jest implementowana na wiele sposobów: na przykład IDEX oferuje schemat, który nie wymaga dodatkowego zasilania, tymczasem CrucialTec pracuje nad baterią i prostym wyświetlaczem do stosowania w kartach, który informowałby użytkownika o pomyślnej autoryzacji. Czytnik odcisków może stanowić dobrą alternatywę dla kodów PIN: jest łatwiejszy w użyciu i trudniej go oszukać. Poznanie wprowadzanego na klawiaturze kodu PIN nie jest zadaniem ekstremalnie trudnym.

Nieco więcej biometrii

Dwa lata temu firma Qualcomm zaprezentowała SenseID — bezpieczniejsze i szybsze ultradźwiękowe skanery odcisków palców. Tym razem firma zaproponowała inną metodę uwierzytelniania — skanowanie tęczówki. A ponieważ każda osoba ma unikatową tęczówkę, ta metoda autoryzacji jest stosunkowo wiarygodna.

System Qualcomma jest nowy, więc póki co znalazł zastosowanie jedynie w prototypach, lecz działa zaskakująco dobrze: szybko i bezbłędnie. Jeśli ktoś się zastanawia, dlaczego technologia ta tak późno pojawiła się na rynku smartfonów, odpowiedź jest prosta: wcześniej aparaty były zbyt wolne, a proces przetwarzania obrazów był zbyt mało wydajny.

Wspomnę tutaj, że system rozpoznawania tęczówek Qualcomma może odróżnić fałszywą tęczówkę od prawdziwego oka. Na stoisku tej firmy dostępna była zaskakująco realistyczna twarz wydrukowana w 3D, a mimo to system nie pomylił jej z prawdziwą. O ile dobrze zrozumiałem, system bierze pod uwagę to, że nasze oczy cały czas się poruszają.

Warto dodać, że system może rozpoznać tęczówki nawet przez duże, czarne okulary przeciwsłoneczne. Niestety eksperci z firmy Qualcomm nie chcieli zdradzić, w jaki sposób to się odbywa. Najważniejsze jest jednak to, że rozpoznawanie tęczówek jest znacznie bezpieczniejsze niż na przykład rozpoznawanie twarzy.

Niestety problem związany z technologiami biometrycznymi nie zniknął: gdy przestępcy znajdą sposób na kradzież i wykorzystanie biometrycznych danych (a będą z pewnością próbować, gdy popularność zdobędą biometryczne bankomaty), użytkownicy znajdą się w pułapce, gdyż nie będą mogli zmienić swojej twarzy, tęczówek czy odcisków. Zupełnie inaczej wygląda to, jeśli chodzi o kod PIN lub hasło, które można zmienić w ciągu kilku sekund.

Kilka innych pomysłów z MWC 2017

W tym roku w Barcelonie pojawiło się sporo interesujących innowacji powiązanych z bezpieczeństwem informacji. Na przykład Qualcomm pokazał technologię uczenia maszynowego na urządzeniu. Oznacza to, że procesory mobilne Snapdragon są już na tyle wydajne, że mogą uczyć sieci neuronowe. Firma pochwaliła się swoimi pierwszymi krokami w tym kierunku już w zeszłym roku, prezentując rozwiązanie próbujące rozpoznać obiekty na zdjęciach. Teraz technologia ta przekształciła się w uniwersalny silnik, który jest kompatybilny z wieloma popularnymi strukturami i został udostępniony producentom.

Jest to krok naprzód: samouczenie się z wykorzystaniem komputera może uwolnić użytkowników od konieczności wysyłania danych do chmury. To z kolei całkowicie zabija prywatność, ponieważ zazwyczaj uczenie maszynowe wymaga technologii chmury — jest to zatem tożsame z oddaniem swoich danych. Obecnie jest to tylko silnik, a nie rozwiązanie gotowe do użytku przez konsumentów.

Cóż, istnieje już technologia, która tego używa — stworzona przez (tak, bingo!) Qualcomma. Nazywa się App Protect i umożliwia implementację algorytmów heurystycznych do wykrywania szkodliwych aplikacji na poziomie oprogramowania sprzętowego. Qualcomm traktuje aplikację jako szkodliwą, jeśli próbuje ona zrobić coś potajemnie — np. gromadzi lokalizację użytkownika czy informacji kontaktowe, wysyła lub przechwytuje SMS-y. App Protect pomaga wykryć takie aplikacje i blokuje im dostęp do wrażliwych danych. Technologia ta nie jest rozwiązaniem gotowym do użytku — musi być zintegrowana z aplikacją zabezpieczającą. A tymczasem nasz Kaspersky Antivirus & Security dla systemu Android robi to skutecznie już na poziomie oprogramowania.

Tegoroczny kongres był bardziej skoncentrowany na bezpieczeństwie, niż to było w poprzednich latach. Słowo „bezpieczny” był widoczne niemal na każdym stoisku. Nawet jeśli urządzenia nie są tak naprawdę bezpieczne, wrażenia wizualne sugerują, że producenci zwracają coraz większą uwagę do ochrony.

Jeśli chodzi o samo uwierzytelnianie biometryczne, technologia ta może wyeliminować wiele bieżących niedociągnięć. Nigdy nie będzie w pełni bezpieczna — bo nie ma takiej rzeczy na świecie. Ważne jest jednak to, że widać już kroki w dobrym kierunku, co bardzo nas cieszy.