Mobile World Congress 2016: пугающие тренды

Определяем основные тренды Mobile World Congress 2016 — и они кажутся нам довольно пугающими

Mobile World Congress 2016: пугающие тренды

На Mobile World Congress традиционно приезжают ради смартфонов. Но если отвлечься от них хотя бы ненадолго и посмотреть на выставку под другим углом, то на ней можно найти еще много всего интересного. Именно это мы и постарались сделать, и некоторые тренды MWC 2016 показались нам довольно тревожными. Давайте разберемся почему.

Mobile World Congress 2016: пугающие тренды

Мобильные платежи: одержимость удобством

Похоже, что множество компаний буквально одержимы мобильными платежами: большое количество новых разработок, представленных на MWC, было связано именно с ними. Но в основном все нововведения направлены на то, чтобы упростить и повысить удобство проведения транзакций, а вовсе не на обеспечение их безопасности.

Например, Samsung сообщила, что платежная система Samsung Pay выходит на новые рынки, в том числе она начнет работать в Бразилии, Великобритании, Канаде, Китае и Испании. Если про проблемы с безопасностью Apple Pay нам прекрасно известно, то сказать то же самое про Samsung Pay мы не можем. Но можем рассказать вам о настораживающем факте: недавно хакеры взломали LoopPay, систему, лежащую в основе Samsung Pay, которую корейская корпорация приобрела год назад.

Samsung утверждает, что взломщики хотели украсть платежную технологию и создать собственную похожую систему, но нет гарантий, что они не собрали достаточно данных, чтобы скомпрометировать аккаунты пользователей Samsung Pay.

За несколько дней до MWC Qualcomm и Tencent сообщили, что один из телефонов на базе чипа Qualcomm теперь поддерживает систему авторизации по отпечаткам пальцев для проведения платежей в WeChat, самом популярном в Китае мессенджере. Qualcomm утверждает, что эти платежи являются суперзащищенными благодаря комплексу технологий Qualcomm Heaven, но мы-то знаем, что сканеры отпечатков пальцев небезопасны. Остается надеяться, что Qualcomm и Tencent справились с защитой биометрических сканеров лучше предшественников, а не то хакеры проделают с их разработкой то же, что и со всеми другими необкатанными нововведениями.

Mobile World Congress 2016: пугающие тренды

VISA движется в том же направлении, но более осторожно. И хотя один из крупнейших производителей кредитных карт явно в восторге от идеи бесконтактных платежей (взять хотя бы VISA PayWave), инженеры компании стараются трижды проверить и перепроверить защиту своих технологий, и это здорово.

Однако VISA уже одобрила технологию авторизации по радужной оболочке глаза, а на MWC 2016 показала свое видение аутентификации по отпечаткам пальцев. Радует то, что это решение пока еще находится на ранней стадии тестирования, и инженеры компании обдумывают создание на ее основе более защищенной системы двухфакторной авторизации — одновременно по отпечаткам пальцев и радужке глаза.

Конечно же, мы не упустили возможность задать сотруднику VISA вопрос о том, как новая разработка будет отличать поддельные отпечатки пальцев и радужную оболочку глаза от настоящих. Как оказалось, он никогда не слышал о том, что их вообще можно подделать. Но молодой человек уверил нас, что, если все так и есть, инженеры VISA обязательно придумают, как еще защитить деньги клиентов: например, добавят к показанной системе возможность снимать показатели кровообращения в венах — они у всех людей тоже разные.

Mobile World Congress 2016: пугающие тренды

Главный конкурент VISA, компания MasterCard, переиграла всех, представив селфи-платежи. Да, вы все правильно поняли — селфи-платежи. В MasterCard считают, что использование селфи вместо паролей — отличная идея, ведь за много лет человечество так до сих пор и не научилось с ними правильно обращаться: кто-нибудь обязательно либо запишет сложную комбинацию на бумажке, либо использует один пароль для всех сайтов.

На видео видно, что для авторизации нужно не только посмотреть в камеру, но и моргнуть в указанное время — такую систему не обманешь обычной распечатанной фотографией. Но мы уверены, что хакеры по всему миру уже приняли этот вызов. Возможно, чтобы взломать защиту системы, хватит одной видеозаписи.

Сканеры отпечатков пальцев: технология в стагнации

Мы уже упоминали, что сканеры отпечатков пальцев небезопасны. И эта проблема никуда не делась. Биометрия становится все популярнее, и теперь дактилоскопические сенсоры можно найти в смартфонах самых разных ценовых категорий. Компания Huawei даже интегрировала такой сенсор в свой новый ноутбук-трансформер на Windows под названием MateBook, представленный на MWC 2016.

Мы пообщались с двумя производителями сканеров отпечатков пальцев. Новый сенсор от Synaptics защищен настолько, насколько это вообще возможно: все данные шифруются, к тому же Synaptics настоятельно рекомендует всем производителям использовать для обработки этих данных защищенную среду ARM Trustzone.

Другой производитель, NEXT, предлагает два типа сканеров, и в одном из них шифрование вообще отсутствует. NEXT также не акцентирует внимание на необходимости обработки данных в безопасной среде, но зато предлагает свою продукцию по демпинговым ценам. Так как цена для большинства производителей смартфонов куда важнее защиты, дешевые и небезопасные сканеры NEXT наверняка попадут во многие устройства. В результате бесконтактные платежи станут в среднем еще менее защищенными, чем сейчас.

Mobile World Congress 2016: пугающие тренды

Подключенные автомобили

В будущем мы наверняка будем пользоваться подключенными к Сети беспилотными автомобилями — по крайней мере, все к этому идет. Однако производители автомобилей на данный момент больше заняты вопросами поведения и безопасности машины на дороге, чем ее защитой от киберугроз. Как показали последние исследования, машины, имеющие доступ в Сеть, уязвимы для кибератак, и в некоторых случаях последствия этих атак могут быть очень плачевными.

Samsung и Sony на MWC 2016 представили наборы «подключи машину к Сети своими руками», причем оба можно использовать даже в старых авто. Версия Sony подключается с помощью USB и Bluetooth и больше похожа на контроллер для навигационного приложения в вашем телефоне. Если хакер взломает это устройство, ему достанется не слишком много информации: разве что он узнает, куда вы направляетесь и какую музыку слушаете. Ну еще он сможет переключать треки или менять пункт назначения — в общем, ничего особо ужасного.

Mobile World Congress 2016: пугающие тренды

А вот Samsung представила более сложное устройство. Среди прочего оно, во-первых, позволяет анализировать жизненные показатели автомобиля, а во-вторых, служит бортовой точкой доступа Wi-Fi. Это значит, что данное устройство подключается одновременно и к порту OBD II в машине, и к сети LTE. Мы уже знаем, что автомобиль можно удаленно взломать с помощью OBD II, а Samsung лишь облегчает эту задачу, подключая его напрямую к Интернету.

Ваше авто может быть одним из самых безопасных и получать высшие оценки во всех краш-тестах, но, если кто-то способен подключиться к нему и перехватить контроль, о безопасности можно забыть.

Mobile World Congress 2016: пугающие тренды

На самом деле не все на MWC 2016 было таким страшным. Мы увидели немало интересных устройств и услышали много хороших новостей. Но, как бы там ни было, в этом году Mobile World Congress практически целиком посвящен всевозможным подключенным устройствам. А чем больше устройств подключается к Интернету, тем больше становится возможностей их взломать и скомпрометировать. Мы надеемся, что на следующем MWC компании посвятят больше времени защите всех этих устройств. Впрочем, уже сейчас понятно, что мы точно поговорим об их взломе на следующей конференции Black Hat.

Security Week 08: кража мышей через свисток, операция «Блокбастер», Linux Mint с бэкдором

Security Week 08: кража мышей через свисток, операция «Блокбастер», Linux Mint с бэкдором

В этом выпуске Константин Гончаров рассказывает о том, как через беспроводную мышь можно взломать компьютер, и о том, как на вполне официальном сайте Linux Mint появился дистрибутив с бэкдором. Ну и о других новостях за неделю

Security Week 08: кража мышей через свисток, операция «Блокбастер», Linux Mint с бэкдором
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.