Do 2019 roku połowa smartfonów trafiających na rynek będzie miała czytniki linii papilarnych. Z takiej formy uwierzytelnienia użytkownika korzystać będą m.in. aplikacje do płatności mobilnych. Wyciek informacji biometrycznych na dużą skalę mógłby okazać się katastrofą. W odróżnieniu od często krytykowanych haseł, unikalnych cech naszego ciała nie możemy zmienić.
Apple, Samsung, HTC, Huawei – to tylko kilku z producentów smartfonów, którzy zdecydowali się umieścić w swoich urządzeniach czytniki linii papilarnych. Umożliwiają one odblokowanie telefonu, zalogowanie się do aplikacji, a także autoryzowanie płatności np. w ramach schematu Apple Pay czy zbliżających się Samsung Pay i Android Pay.
Na poświęconej bezpieczeństwu IT konferencji „Black Hat” badacze z firmy FireEye, Tao Wei i Yulong Zhang, przedstawili prezentację, której towarzyszyły demonstracje łamania zabezpieczeń biometrycznych w urządzeniach z systemem Android. Część z zaprezentowanych przez nich luk została już załatana przez producentów, ale można potraktować je jako ilustrację możliwych kłopotów czekających nas w przyszłości.
Jak podkreślają eksperci, szczególnie niebezpieczny byłby masowy zdalny wyciek danych biometrycznych z urządzeń mobilnych. Jeśli przestępcy odkryją sposób na zdobycie cennych danych, to może to zagrozić wielu systemom jednocześnie – np. bankowym, gromadzącym dane o przestępczości, imigracji itp.
Jak może wyglądać atak?
Badacze zaprezentowali kilka przykładowych schematów ataku na zabezpieczenia z użyciem linii papilarnych. Pierwszym z nich jest zmiana kontekstu użycia odcisku palca. Użytkownicy telefonów przyzwyczajeni do odblokowywania swoich urządzeń w ten sposób, mogą paść ofiarą sprytnej maskarady. Złośliwa aplikacja może udawać blokadę ekranu, a w rzeczywistości wyłudzać autoryzację np. płatności. Można spodziewać się, że tego rodzaju wirusy rozpowszechnią się wraz z rozwojem płatności mobilnych.
Drugi typ ataku opiera się na wykorzystaniu luk w zabezpieczeniu przesyłanych danych biometrycznych. Badacze wskazali np., że w telefonie HTC One Max (przed wprowadzeniem poprawki przez producenta) możliwe było przechwycenie lekko tylko zmodyfikowanego obrazu odcisku palca i odzyskanie pełnych danych biometrycznych przez złośliwą aplikację.
Trzeci rodzaj niebezpieczeństwa bazuje na podsłuchiwaniu czytnika linii papilarnych. Złośliwy kod może komunikować się z urządzeniem, jeśli jego obsługa nie jest zarządzana przez oprogramowanie umieszczone w wydzielonej, bezpiecznej części sprzętu. Badacze potwierdzili, że tego rodzaju problem dotyczył m.in. HTC One Max i Samsunga Galaxy S5. Producenci zostali powiadomieni i załatali luki w oprogramowaniu.
Czwarty sposób na obejście zabezpieczeń biometrycznych w telefonach bazuje na dodaniu do zbioru zarejestrowanych odcisków dodatkowych danych. Każdy użytkownik smartfona, jeśli chce korzystać z czytnika musi najpierw wprowadzić tam obrazy swoich linii papilarnych. Jeśli przestępcy uda się „tylnym wejściem” (np. poprzez złośliwe oprogramowanie) wprowadzić dodatkowe odciski, to będzie mógł swobodnie, w imieniu swojej ofiary, autoryzować np. płatności.
Użytkownicy – dbajcie o higienę
Eksperci wskazali, że odpowiedzialność za bezpieczeństwo rozwiązań biometrycznych leży przede wszystkim w rękach producentów. Użytkownicy telefonów powinni przede wszystkim:
- Wybierać firmy, które regularnie aktualizują system dla swoich produktów,
- Instalować oprogramowanie wyłącznie z zaufanych źródeł,
- Unikać łamania zabezpieczeń (tzw. root), co pozwala złośliwemu oprogramowaniu na łatwiejszy dostęp do urządzenia.
Do tej pory wieści o łamaniu zabezpieczeń biometrycznych pochodziły zazwyczaj z laboratoriów testujących oprogramowanie. Możemy być jednak pewni, że zbliża się dzień, kiedy przestępcom uda się sięgnąć po najbardziej wrażliwe dane.