Mobile World Congress 2016: пугающие тренды

На Mobile World Congress традиционно приезжают ради смартфонов. Но если отвлечься от них хотя бы ненадолго и посмотреть на выставку под другим углом, то на ней можно найти еще много всего интересного. Именно это мы и постарались сделать, и некоторые тренды MWC 2016 показались нам довольно тревожными. Давайте разберемся почему.

Мобильные платежи: одержимость удобством

Похоже, что множество компаний буквально одержимы мобильными платежами: большое количество новых разработок, представленных на MWC, было связано именно с ними. Но в основном все нововведения направлены на то, чтобы упростить и повысить удобство проведения транзакций, а вовсе не на обеспечение их безопасности.

Например, Samsung сообщила, что платежная система Samsung Pay выходит на новые рынки, в том числе она начнет работать в Бразилии, Великобритании, Канаде, Китае и Испании. Если про проблемы с безопасностью Apple Pay нам прекрасно известно, то сказать то же самое про Samsung Pay мы не можем. Но можем рассказать вам о настораживающем факте: недавно хакеры взломали LoopPay, систему, лежащую в основе Samsung Pay, которую корейская корпорация приобрела год назад.

Что такое Samsung Pay, чем она отличается от платежной системы Apple и что там у нее с безопасностью: http://t.co/2XinogPZa9

— Kaspersky Lab (@Kaspersky_ru) March 17, 2015

Samsung утверждает, что взломщики хотели украсть платежную технологию и создать собственную похожую систему, но нет гарантий, что они не собрали достаточно данных, чтобы скомпрометировать аккаунты пользователей Samsung Pay.

Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00

— Kaspersky Lab (@Kaspersky_ru) August 18, 2015

За несколько дней до MWC Qualcomm и Tencent сообщили, что один из телефонов на базе чипа Qualcomm теперь поддерживает систему авторизации по отпечаткам пальцев для проведения платежей в WeChat, самом популярном в Китае мессенджере. Qualcomm утверждает, что эти платежи являются суперзащищенными благодаря комплексу технологий Qualcomm Heaven, но мы-то знаем, что сканеры отпечатков пальцев небезопасны. Остается надеяться, что Qualcomm и Tencent справились с защитой биометрических сканеров лучше предшественников, а не то хакеры проделают с их разработкой то же, что и со всеми другими необкатанными нововведениями.

VISA движется в том же направлении, но более осторожно. И хотя один из крупнейших производителей кредитных карт явно в восторге от идеи бесконтактных платежей (взять хотя бы VISA PayWave), инженеры компании стараются трижды проверить и перепроверить защиту своих технологий, и это здорово.

Однако VISA уже одобрила технологию авторизации по радужной оболочке глаза, а на MWC 2016 показала свое видение аутентификации по отпечаткам пальцев. Радует то, что это решение пока еще находится на ранней стадии тестирования, и инженеры компании обдумывают создание на ее основе более защищенной системы двухфакторной авторизации — одновременно по отпечаткам пальцев и радужке глаза.

Кстати, на днях Евгений Касперский встретился с Сандрой Альцетта из VISA: https://t.co/n0h9ig4dug pic.twitter.com/U5bKeN2lpm

— Kaspersky Lab (@Kaspersky_ru) February 25, 2016

Конечно же, мы не упустили возможность задать сотруднику VISA вопрос о том, как новая разработка будет отличать поддельные отпечатки пальцев и радужную оболочку глаза от настоящих. Как оказалось, он никогда не слышал о том, что их вообще можно подделать. Но молодой человек уверил нас, что, если все так и есть, инженеры VISA обязательно придумают, как еще защитить деньги клиентов: например, добавят к показанной системе возможность снимать показатели кровообращения в венах — они у всех людей тоже разные.

Главный конкурент VISA, компания MasterCard, переиграла всех, представив селфи-платежи. Да, вы все правильно поняли — селфи-платежи. В MasterCard считают, что использование селфи вместо паролей — отличная идея, ведь за много лет человечество так до сих пор и не научилось с ними правильно обращаться: кто-нибудь обязательно либо запишет сложную комбинацию на бумажке, либо использует один пароль для всех сайтов.

На видео видно, что для авторизации нужно не только посмотреть в камеру, но и моргнуть в указанное время — такую систему не обманешь обычной распечатанной фотографией. Но мы уверены, что хакеры по всему миру уже приняли этот вызов. Возможно, чтобы взломать защиту системы, хватит одной видеозаписи.

Мне нужны твое лицо, отпечаток пальца и радужная оболочка https://t.co/tPJzSrcdZV pic.twitter.com/WnlR4GOjhy

— Kaspersky Lab (@Kaspersky_ru) October 28, 2015

Сканеры отпечатков пальцев: технология в стагнации

Мы уже упоминали, что сканеры отпечатков пальцев небезопасны. И эта проблема никуда не делась. Биометрия становится все популярнее, и теперь дактилоскопические сенсоры можно найти в смартфонах самых разных ценовых категорий. Компания Huawei даже интегрировала такой сенсор в свой новый ноутбук-трансформер на Windows под названием MateBook, представленный на MWC 2016.

Сканер отпечатка пальца в смартфоне: дополнительная безопасность или наоборот? https://t.co/12V3cWbG0Z pic.twitter.com/ncBNmjoBPv

— Kaspersky Lab (@Kaspersky_ru) January 21, 2016

Мы пообщались с двумя производителями сканеров отпечатков пальцев. Новый сенсор от Synaptics защищен настолько, насколько это вообще возможно: все данные шифруются, к тому же Synaptics настоятельно рекомендует всем производителям использовать для обработки этих данных защищенную среду ARM Trustzone.

Другой производитель, NEXT, предлагает два типа сканеров, и в одном из них шифрование вообще отсутствует. NEXT также не акцентирует внимание на необходимости обработки данных в безопасной среде, но зато предлагает свою продукцию по демпинговым ценам. Так как цена для большинства производителей смартфонов куда важнее защиты, дешевые и небезопасные сканеры NEXT наверняка попадут во многие устройства. В результате бесконтактные платежи станут в среднем еще менее защищенными, чем сейчас.

Подключенные автомобили

В будущем мы наверняка будем пользоваться подключенными к Сети беспилотными автомобилями — по крайней мере, все к этому идет. Однако производители автомобилей на данный момент больше заняты вопросами поведения и безопасности машины на дороге, чем ее защитой от киберугроз. Как показали последние исследования, машины, имеющие доступ в Сеть, уязвимы для кибератак, и в некоторых случаях последствия этих атак могут быть очень плачевными.

Как перехватить контроль над Jeep Cherokee, несущимся по шоссе со скоростью 110 км/ч: https://t.co/g9pY5N4AJ2 pic.twitter.com/UJcPhrto1J

— Kaspersky Lab (@Kaspersky_ru) July 24, 2015

Samsung и Sony на MWC 2016 представили наборы «подключи машину к Сети своими руками», причем оба можно использовать даже в старых авто. Версия Sony подключается с помощью USB и Bluetooth и больше похожа на контроллер для навигационного приложения в вашем телефоне. Если хакер взломает это устройство, ему достанется не слишком много информации: разве что он узнает, куда вы направляетесь и какую музыку слушаете. Ну еще он сможет переключать треки или менять пункт назначения — в общем, ничего особо ужасного.

А вот Samsung представила более сложное устройство. Среди прочего оно, во-первых, позволяет анализировать жизненные показатели автомобиля, а во-вторых, служит бортовой точкой доступа Wi-Fi. Это значит, что данное устройство подключается одновременно и к порту OBD II в машине, и к сети LTE. Мы уже знаем, что автомобиль можно удаленно взломать с помощью OBD II, а Samsung лишь облегчает эту задачу, подключая его напрямую к Интернету.

Как современная система мониторинга поведения водителя может стать инструментом взлома автомобиля http://t.co/fENtuEC7gu

— Kaspersky Lab (@Kaspersky_ru) January 27, 2015

Ваше авто может быть одним из самых безопасных и получать высшие оценки во всех краш-тестах, но, если кто-то способен подключиться к нему и перехватить контроль, о безопасности можно забыть.

На самом деле не все на MWC 2016 было таким страшным. Мы увидели немало интересных устройств и услышали много хороших новостей. Но, как бы там ни было, в этом году Mobile World Congress практически целиком посвящен всевозможным подключенным устройствам. А чем больше устройств подключается к Интернету, тем больше становится возможностей их взломать и скомпрометировать. Мы надеемся, что на следующем MWC компании посвятят больше времени защите всех этих устройств. Впрочем, уже сейчас понятно, что мы точно поговорим об их взломе на следующей конференции Black Hat.