По мнению исследователей из Нью-Йоркского университета и Университета штата Мичиган, сканер отпечатка пальцев на смартфонах может оказаться довольно уязвимым для взломов. Такие системы можно легко обмануть, использовав поддельный отпечаток. Во многом это связано с тем, что приоритетом у производителей смартфонов является скорость работы сканера, а не уровень безопасности.
Все чаще для идентификации пользователя на гаджетах производители устанавливают сканер отпечатков пальцев. Ими оснащены не только iPhone и флагманские модели Samsung, но и смартфоны таких производителей, как Huawei, HTC, Xiaomi. После идентификации с помощью пальца пользователь получает доступ ко всем сервисам телефона, включая платежные — Apple Pay и Android Pay.
Отпечаток пальцев принято считать одним из наиболее надежных способов идентификации. Но эксперты сомневаются, так ли это на самом деле. Ученые из Нью-Йоркского университета и Университета штата Мичиган подготовили исследование, посвященное возможным уязвимостям таких систем идентификации. По их оценке, смартфон легко можно «обмануть», использовав отпечаток пальца, созданный компьютером на основе анализа общих элементов из отпечатков пальцев всех людей. Исследователи смогли создать набор искусственных универсальных отпечатков — MasterPrints, которые могли подбираться под отпечаток пользователя смартфона. Такой подбор удавалось совершить в 65% случаев. Правда, на реальных смартфонах это не тестировалось, так что, по мнению некоторых экспертов, число совпадений на самом деле должно было быть ниже.
Хотя подделать полный отпечаток пальца человека трудно, но сканеры на смартфонах не обладают большим размером и могут считать лишь часть отпечатка. Кроме того, чтобы отпечаток было проще считать, телефон обычно запрашивает восемь-десять отпечатков для сравнения, причем пользователи нередко оставляют отпечатки нескольких пальцев. Таким образом, телефон будет разблокирован, если совпадет один из частичных отпечатков.
«Это похоже на ситуацию, когда у вас есть 30 паролей, и взломщику нужно подобрать лишь один из них»,— отметил один из авторов исследования профессор информатики Политехнического института Нью-Йоркского университета Насир Мемон. По его словам, если создать «волшебную перчатку» с универсальными отпечатками десяти пальцев, то за пять попыток, после которых iPhone требует ввести пароль, вероятность попадания составит от 40% до 50%.
«Вероятно, все не так плохо, как было указано (авторами исследования.— “Ъ”), но все равно — это очень плохая новость. Если мне нужно взять ваш телефон и использовать Apple Pay для покупок, и если я смогу влезть в один из десяти телефонов, это очень неплохое попадание»,— считает профессор по системной инженерии Карлтонского университета Энди Адлер, специализирующийся на изучении биометрических систем безопасности в устройствах. Стефани Шакерс, профессор Карлтонского университета и руководительница Центра исследований технологий идентификации, скептически отнеслась к выводам исследования. Она указала: чтобы понять, насколько действительно велика вероятность подобного взлома телефона, нужно проводить тестирование именно на телефонах. По ее словам, производители смартфонов используют различные технологии, позволяющие определить, действительно ли к сенсору прикладывают палец. Например, обнаруживают следы пота или оценивают узор на более глубоких слоях кожи. Так, в новом сенсоре отпечатков пальцев от Qualcomm применяется ультразвук.
В Apple заявили, что они оценивают вероятность совпадения отпечатков как 1:50 000. При этом производители смартфонов признают, что возможность идентификации с помощью отпечатка пальца — более легкий вариант, чем набор пароля.
По мнению Криса Бенена, эксперта программы американского правительства «Один», предусматривающей исследования биометрических систем, разработчики могли бы легко повысить уровень безопасности сканеров отпечатков пальцев. Но «средний производитель телефонов больше беспокоится о том, что вас раздражает необходимость прикладывать палец два-три раза, чем о возможности взлома».