Сканер отпечатка пальца в смартфоне: дополнительная безопасность или наоборот?

Сканеры отпечатков пальцев сейчас можно найти практически во всех топовых смартфонах. Производители утверждают, что биометрические технологии не только удобны, но еще и очень безопасны. Так ли это?

Не совсем так. Для начала: эти датчики несовершенны. Емкостные сканеры старого образца плохо распознают отпечатки мокрых пальцев, да и вообще часто срабатывают не с первого раза. Если ваши руки потеют летом или во время занятий спортом, телефон может заупрямиться. Шрамы, царапины и прочие дефекты также влияют на качество распознавания. Кроме того, многие сенсоры не отличают слепок от реального пальца, и это уже угроза безопасности.

Часть проблем, скорее всего, решится, когда Qualcomm выпустит на рынок свою новую разработку — ультразвуковой сканер отпечатков пальцев. Слепком его не проведешь, да и влажные пальцы новому датчику не помеха. Но есть и другие угрозы.

Умная бутылка виски и четыре тренда, которые мы почувствовали на MWC 2015 и которые нас очень обнадеживают: http://t.co/V3G8pTP2lj

— Kaspersky (@Kaspersky_ru) March 10, 2015

Новые технологии уязвимы просто в силу своей новизны — недостаточно просто встроить в телефон нечто инновационное, надо еще сделать это грамотно. Это удается не всем, и точно не сразу. В августе 2015 года был обнаружен способ украсть отпечатки пальцев — удаленно и в промышленных масштабах.

Специалисты выяснили, что смартфоны HTC One Max и Samsung Galaxy S5 хранят изображения с отпечатками пальцев пользователей в общем разделе файловой системы в виде незащищенного файла с расширением bmp, то есть как обычную картинку. Любое приложение, получившее на телефоне доступ к файлам и Интернету, может эту картинку выкрасть. К тому же во многих смартфонах недостаточно защищен сам датчик — вредоносная программа может считывать изображение непосредственно с него.

При этом iPhone справился с этой задачей гораздо лучше конкурентов: смартфоны Apple шифруют эти файлы, так что, если хакер получит изображение, он не сможет прочитать его без криптографического ключа. Производители выпустили патчи, но нет никаких гарантий, что в следующем флагмане с новой ОС не найдутся новые «дыры».

Кстати, про Google. Отпечатки пальцев на Android-смартфонах HTC, как оказалось, доступны почти всем желающим: https://t.co/0HImw2ozaf

— Kaspersky (@Kaspersky_ru) August 11, 2015

Для защиты данных некоторые вендоры (к примеру, Huawei) используют технологию ARM TrustZone, которая анализирует отсканированные отпечатки пальцев в отдельной операционной системе, запущенной на выделенном виртуальном процессоре, к которому нет доступа у основной системы. В результате сторонние приложения и разработчики не могут добраться до критически важной информации вроде сканов отпечатков пальцев. К сожалению, из-за особенностей реализации эта технология также несовершенна.

Утверждение о том, что отпечаток пальца — не пароль и его нельзя «подглядеть», забыть или случайно передать кому-то другому, на практике не работает. В этом году исследователи также наглядно показали, что украсть отпечаток можно очень легко, причем не входя в контакт с жертвой, — достаточно сделать качественный снимок ее ладони или даже распечатать подходящую фотографию из журнала. Кстати, этот метод подходит и для подделки радужной оболочки глаза.

Мне нужны твое лицо, отпечаток пальца и радужная оболочка https://t.co/tPJzSrcdZV pic.twitter.com/WnlR4GOjhy

— Kaspersky (@Kaspersky_ru) October 28, 2015

Попавший в сеть пароль можно заменить за пару минут, но украденные отпечатки пальцев поменять не получится и за всю жизнь. Поэтому не стоит безоглядно доверять громким рекламным заявлениям производителей. Пока же всем пользователям смартфонов, оборудованных сканерами отпечатков пальцев, мы рекомендуем следующее.

Сканер отпечатка пальца в смартфоне: дополнительная #безопасность или наоборот?

Tweet

1. Несмотря на рекомендации производителей, не стоит пользоваться биометрическим сканером для авторизации в платежных сервисах и банковских приложениях. Это может оказаться небезопасно. Сейчас телефон у вас — завтра он может оказаться у вора. Ему несложно будет скопировать ваши отпечатки пальцев прямо с телефона и приобрести себе что-нибудь дорогое за ваши деньги. Раздобыть пароли, если, конечно, вы умеете ими правильно пользоваться, значительно сложнее.

Мы, оказывается, очень предсказуемы, когда создаем графические #ключи для #Android: https://t.co/txDCi3JLkF pic.twitter.com/B8zG4QLO6i

— Kaspersky (@Kaspersky_ru) August 21, 2015

2. Чаще всего для авторизации выбирают указательный и большой палец. Это удобно, но неправильно, так как в работе со смартфоном мы в первую очередь пользуемся именно ими. Получив «залапанный» смартфон, преступник сможет изготовить фальшивый отпечаток за пару часов — благо инструкций в Сети предостаточно. А отпечатки большого и указательного пальца на корпусе устройства наверняка найдутся, причем в приличном состоянии. Поэтому стоит остановиться на мизинце и безымянном пальце левой руки для правшей и правой руки — для левшей.
3. Для защиты личных данных в телефоне сканера отпечатка пальцев недостаточно. Если вас беспокоит конфиденциальность, подумайте об использовании специального программного обеспечения. К примеру, в Kaspersky Internet Security для Android встроены функции «Анти-Вор» и «Личные Контакты» — с их помощью можно отследить украденный телефон, удаленно стереть с него все данные, а также скрыть от посторонних глаз избранные контакты, истории вызовов и сообщений.

Как скрыть личные данные и список контактов в телефоне от любопытных глаз и мошенников: https://t.co/yvseX1MuIy pic.twitter.com/TX2NGJGfq5

— Kaspersky (@Kaspersky_ru) December 4, 2015

В целом сканер отпечатков пальцев — изобретение неплохое, и в смартфонах от него больше пользы, чем вреда. Но не надо считать его решением всех проблем — пользуйтесь этой технологией с умом и не пренебрегайте другими мерами безопасности.