18.11.2016 |
Авторы очень многих приложений для устройств от Apple поспешили воспользоваться преимуществами технологии Touch ID для удобства своих пользователей. Несмотря на то, что недостатки технологии биометрической авторизации уже много лет демонстрируются в кино из Голливуда.
Можно ли сегодня полагаться только на биометрическую защиту? Безопасно ли это?
Начиная с 2014-го года Apple считает, что можно.
До появления Touch ID приложения были защищены только собственным кодом, что было существенно безопаснее. Теперь, когда есть Touch ID, вы можете набирать десятки и сотни кодов от приложений, но они абсолютно не прибавляют в защите - это пустая трата времени и иллюзия безопасности. Между тем, разглашение людьми личного пароля от телефона стало сегодня слишком обычным делом. Люди доверяют свои пароли семье, друзьям, и зачастую даже просто случайным прохожим. Это гораздо удобнее, чем набирать пароль каждый раз, передавая телефон из рук в руки. Попробуйте вспомнить, было ли такое, что вы или вам задавали вопрос "Какой у тебя пароль?". Или бывает ли так, что вы набираете пароль под глазом видеокамеры. В этот момент удобство отодвигает безопасность далеко на задний план.
Мы проверили приложения, которые считаются самыми защищенными, т.е. финансовые приложения, банковские, для доступа к удаленным устройствам и компьютерам, интернет-магазины, хранители паролей, записные книжки, таск-менеджеры, облачные хранилища и разные другие.
Обойти пароли от входа в приложения возможно в случае, когда пароль на iPhone не установлен или известен злоумышленнику. Он может просто добавить в систему новый отпечаток пальца и использовать его для входа по Touch ID.
Знать пароль самого приложения не требуется.
Чтобы приложение было защищено, в момент запуска оно должно проверять - не появились ли новые отпечатки с момента последнего входа. Если новые отпечатки есть, то вход должен работать только по паролю приложения 1. Так работает защита AppStore и некоторых других приложений.
Разработчикам протестированных нами приложений направлены результаты исследования и рекомендации о методе защиты.
По информации, имеющейся у лаборатории информационной безопасности «Кадмус», ответные действия на предоставленные рекомендации уже оперативно предприняты службой информационной безопасности банка "Сбербанк": алгоритм входа в банковское приложение по отпечатку пальца изменен, чтобы гарантировать защиту данных пользователей.
Клиентам банка достаточно обновить приложение на iPhone с функцией Touch ID, чтобы включилась дополнительная защита.
Пользователям приложений с Touch ID, для повышения своей защищенности, мы рекомендуем:
Мы открыты для сотрудничества и готовы обратить свои знания и опыт на пользу вашему бизнесу или лично вам. Если у вас есть задачи, связанные с информационной безопасностью, то напишите нам на эл. почту mail@cadmus.ru
В знании - сила! Поделитесь этим знанием со своими друзьями. Кому-то это наверняка поможет.
1. Технические подробности на GeekTimes
Предыдущая статья:
Сериал "Небезопасность". Эпизод 1.
Доступ к счету в банке через заблокированный iPhone и обзор других методов взлома Siri