Prawie wszystkie flagowe smartfony mają już modne ostatnio skanery odcisków palców. Dostawcy twierdzą, że czujniki biometryczne ułatwiają użytkowanie urządzenia oraz zwiększają jego bezpieczeństwo. Czy to prawda?
Nie do końca, bo czujniki te nie są pozbawione luk. Starsze skanery pojemnościowe z trudnością rozpoznają mokre palce i w wielu przypadkach nie działają bezproblemowo. Zatem jeśli Twoje ręce się pocą, Twój smartfon może nie rozpoznać Cię i odmówić współpracy. Prawdopodobieństwo rozpoznania zmniejszają także wszelkie blizny, zadrapania czy inne uszkodzenia skóry. Co więcej, wiele czujników nie potrafi odróżnić prawdziwego palca od atrapy — i jest to naprawdę poważna luka w zabezpieczeniach.
Część z tych problemów może zniknąć, gdy firma Qualcomm udostępni czujnik ultrasoniczny, który do skanowania obrazu 3D palca używa ultradźwięków. Wobec tego nie można go oszukać atrapą palca, i — co istotne — działa nawet wtedy, gdy palec jest mokry lub brudny. Mimo to nie rozwiąże on wszystkich zagrożeń.
Nowe technologie zawsze są dziurawe — bo są nowe. Nie wystarczy wymyślić kolejnej innowacji —musi ona zostać zaimplementowana w bezpieczny sposób, a nie wszyscy dostawcy są w stanie to zrobić. A nawet jeśli sprostają temu zadaniu, zdecydowanie nie zrobią tego dla pierwszej wersji. W sierpniu 2015 roku odkryto nowy sposób na kradzież odcisków palców, którą można przeprowadzić w sposób zdalny i na dużą skalę.
Ekspert bezpieczeństwa odkrył, że smartfony HTC One Max oraz Samsung Galaxy S5 przechowywały zdjęcia odcisków palców w pliku, który nie był zaszyfrowany i który mogła odczytać każda aplikacja o rozszerzeniu .bmp — tak jak to ma miejsce w przypadku zwykłych plików z grafiką bitmapową. Dowolny program, który miał dostęp do zdjęć użytkownika i do internetu, mógł je ukraść. Niedługo po odkryciu twórcy udostępnili łatę, ale kto może zagwarantować, że nie popełnią podobnych błędów przy nowych telefonach i wersjach systemów operacyjnych?
Co więcej, wiele smartfonów ma słabo zabezpieczone czujniki, które umożliwiają szkodliwemu programowi uzyskanie zdjęć wprost ze skanera. Całkiem bezpieczne w tym temacie okazały się smartfony Apple, które szyfrują dane odcisku palca ze skanera.
Niektórzy producenci (np. Huawei) do ochrony danych na swoich urządzeniach używają technologii ARM TrustZone. Podczas pracy ze zdjęciami odcisków działa ona w dedykowanym „świecie” wirtualnym, który nie jest dostępny poziomu głównego systemu operacyjnego. W rezultacie kluczowe dane (takie jak odciski palców) nie mogą wyciec i nie mogą być używane przez aplikacje firm trzecich. Niestety, w zależności od modelu implementacji ta technologia także może mieć luki.
Nie wierz, gdy ktoś mówi, że odcisk palca nie jest hasłem, bo jego właściciel nie może podzielić się nim z kimś innym. W tym roku badacze pokazali, jak łatwo można ukraść odcisk palca — zdalnie, nawet bez kontaktu twarzą w twarz. Można to zrobić przy użyciu dobrej jakości zdjęcia odcisku palca ofiary. Wystarczy aparat SLR z nienaganną opcją przybliżenia lub nawet zdjęciem wydrukowanym w wysokiej rozdzielczości. Nawiasem mówiąc, taka sama metoda może zostać użyta do oszukania skanera tęczówki.
Gdy Twoje hasło wycieknie, możesz je zmienić w kilka minut; natomiast ze odcisk palca będziesz mieć do końca swojego życia. Co się stanie, jeśli zostanie skradziony? Z tego powodu nie należy całkowicie wierzyć obietnicom marketingowym popularnych producentów. Jeśli masz smartfona z wbudowanym czujnikiem odcisku palca, rozważ kilka poniższych wskazówek.
Mobilne skanery odcisków palców: dodatkowe bezpieczeństwo czy dodatkowa luka?
- Nie wierz w zapewnienia producentów i nie używaj skanera swojego odcisku do autoryzowania transakcji w serwisie PayPal czy innych. To nie jest bezpieczne. Dzisiaj telefon jest w Twoich rękach, ale jutro może Ci go ktoś ukraść. Złodziej może z łatwością skopiować Twój odcisk wprost z powierzchni ekranu telefonu i użyć go, aby sobie coś kupić. Łamanie haseł jest trudniejsze, ale tylko wtedy, gdy się ich właściwie używa.
- Jako swój biometryczny login ludzie zazwyczaj używają palca wskazującego lub kciuka. Jest to wygodne, ale ryzykowne, bo to właśnie one są używane najczęściej podczas pracy z telefonem. Można znaleźć odcisk tych palców na danym telefonie i utworzyć ich atrapę, a następnie złamać zabezpieczenia — zwłaszcza że w internecie jest wiele poradników na ten temat. Wobec tego lepiej jest używać palca najmniejszego i serdecznego w lewej ręce u osób praworęcznych i analogicznych palców w prawej ręce u osób leworęcznych.
- Skaner odcisków palców nie wystarczy do zapewnienia rzetelnej ochronyTwoich danych osobistych. Jeśli dbasz o prywatność, pomyśl o używaniu specjalnej aplikacji. Na przykład Kaspersky Internet Security for Android posiada wbudowane funkcje Anti-Theft i Ochrona prywatności. Mogą one pomóc w wyśledzeniu skradzionego telefonu, zdalnym wymazaniu wszystkich danych z urządzeniu czy ukryciu historii komunikatów i listy kontaktów przed wścibskimi oczami.
Ogólnie skaner odcisków to świetny wynalazek, który jest bardziej przydatny niż szkodliwy. Ale nie wolno na nim zbytnio polegać — używaj nowej technologii rozsądnie i nie rezygnuj z haseł, dwuetapowej weryfikacji i innych środków ochrony.