Последние модели Apple iPhone обладают столь же уязвимыми датчиками отпечатков пальцев, как и прошлогодние iPhone 5S. Они позволяют получить доступ к телефону через отпечаток пальца, изготовленный при наличии некоторых специализированных знаний и материалов стоимостью менее тысячи долларов, о чём рассказывает проведённое исследование.
Марк Роджерс, главный исследователь фирмы мобильной безопасности Lookout, использовал применяющиеся в криминалистике методы, сначала снимая скрытые отпечатки с устройства, а затем создавая их формы. Далее, используя клей, он сделал тонкий резиновый отпечаток, накладываемый на большой палец, который и позволяет обмануть датчик.
Эксперимент показывает, что Apple всё же сделала датчик лучше, поскольку он сумел распознать не самые удачные поддельные отпечатки и реже ошибался с правильными отпечатками, но технология обмана всё ещё работает на iPhone 6 и 6 Plus. «Процесс в обоих случаях одинаковый. Я бы не назвал его лёгким, потому что мне потребовалось около восьми часов на осуществление задуманного. Однако тот, кто делает это не для исследований, может управиться за два-три часа».
Анонсированный в прошлом году датчик Touch ID дебютировал на iPhone 5S и имеется также на выпущенных в этом году iPhone 6. Первоначальный анализ подчеркнул главную слабость в применении технологий распознавания отпечатков пальцев для мобильных устройств: коды доступа пользователя, то есть отпечатки пальцев, остаются везде, в том числе на самом устройстве. Если iPhone украден, устройство часто содержит на себе отпечатки пальцев, которые могут оказаться достаточно высокого качества, чтобы разблокировать телефон.
Тем не менее, последние исследования показывают, что реализация датчиков Apple в целом достаточно хороша, чтобы защитить устройство от самых распространённых рисков: кражи, стирания и перепродажи. Технология распознавания отпечатков может быть реализована одним из двух способов. Либо злоумышленник может использовать лазерный принтер, чтобы создать форму из слоев краски, или использовать прозрачную плёнку для травления печатной платы и создания формы. В обоих случаях клей, иногда смешанный с глицерином, используется для имитации кожи и сохранения отпечатка.
Довольно сложно удачно провернуть это даже при пяти попытках, говорит Роджерс. Ограниченное число попыток служит эффективной мерой противодействия против кражи. «У меня было неограниченное число попыток, и вряд ли при краже кто-то станет прилагать такие усилия, чтобы получить доступ к данным».
В целом датчик ID повысил безопасность смартфонов, поскольку теперь больше пользователей закрывают свои аппараты от несанкционированного доступа. 54-67% пользователей смартфонов не защищают свой телефон даже простым паролем, гласило исследование 2011 года.
Так же, как сейфы используются для защиты ценной информации и объектов в запертом доме, мобильные пользователи должны устанавливать более серьёзную защиту ценных данных на своём телефоне, даже если он заблокирован с помощью пароля или отпечатка пальца, говорит Роджерс. «Touch ID хорошо подходит для блокировки iPhone, но когда дело доходит до действительно важных данных, вы должны рассмотреть другую меру безопасности».
Остаётся открытым вопрос, насколько пригоден Touch ID для серьёзных платёжных систем, вроде новой Apple Pay, которые начинают становиться всё более популярными. Apple Pay будет использовать Touch ID для инициализации платежа, используя один из счетов кредитных карт, хранящийся на телефоне. Если сервис станет популярным, на смартфонах будет намного больше денег, которые можно украсть.
