Вопрос сохранности персональных данных никогда не будет решен. Стоит пользователям вздохнуть с облегчением, как всплывают неприятные известия. То сервисы сливают пароли, то системы защиты оказываются ненадежными. А на днях выяснилось, что и на биометрию рассчитывать не приходится. Чтобы разблокировать устройство по отпечатку, достаточно клея ПВА.
Принтер, клей и доступ к данным
Исследованием занималась команда Kraken Security Labs Team. Они доказали, что обхитрить Touch-ID проще, чем кажется. Для этого все еще требуется определенное оборудование. Но для злоумышленников обзавестись им не составит труда.
Достаточно раздобыть отпечаток потенциальной жертвы. Сделать это совсем не сложно. Необходимо получить доступ к базе отпечатков. Или поступить еще проще — прикарманить любую вещь нужного человека.
С помощью 3D-печати воссоздается объемный слепок пальца. Технология также доступна рядовому пользователю. Комплектующие устройства продаются даже на AliExpress. Когда трехмерный отпечаток застывает, его достаточно залить ПВА. Получившаяся пленка воссоздает кожу владельца устройства.
Разработчики доказали, что клеевого отпечатка достаточно для разблокировки устройства. В идеале наложить его надо на собственный палец, чтобы он немного нагрелся. Так у сканеров, проверяющих температуру, не возникает претензий.
Разработка уже проверена на различных гаджетах. В том числе планшеты и макбуки от Apple легко повелись на клеевой отпечаток. Старый-добрый пароль все же оказался надежнее биометрии?
Идея обмануть датчики с помощью клея появились еще десять лет назад. Тогда биометрические пароли только стали распространяться. На сайтах вроде Habr можно найти обсуждения проблемы. Пользователи решали, насколько стоит доверять Touch-ID. В том числе был рассмотрен способ подделки отпечатков.
Тогда вместо 3D-принтера предлагалось аналогичное лазерное устройство. Аппарат выжигал на пленке отпечатки, создавая рельефную модель. Алгоритм несколько сложнее предложенного Kraken Security Labs Team.
Отпечаток проявляют с помощью крышки бутылки и суперклея. Дальше его фотографируют. В графических редакторах со снимка удаляется грязь. Только потом приходит время печати. А финал аналогичный: макет заливают ПВА. Пленка клея повторяет биометрические данные пользователя.
Странно, что в таком случае исследование Kraken Security Labs Team состоялось только сейчас. Идея буквально витала в воздухе. Но теперь ненадежность Touch-ID доказана на практике.
Самый острый вопрос
Новости об очередной утечке данных уже ни для кого не становятся шоком. За последние дни как минимум несколько компаний были обвинены в сливе.
Неделей ранее Oriflame оштрафовали за несохранение информации о клиентах. Компания заплатила всего тридцать тысяч рублей. А число пострадавших превысило миллион. Сканы паспортов граждан были оценены всего лишь в две копейки.
Пользователи WordPress тоже были неприятно удивлены. Регистратор доменных имен GoDaddy рассказал, что их данные утекли в сеть. В начале месяца онлайн-брокер Robinhood сделал аналогичное заявление.
Ситуация стала привычной, но легче она не переносится. Пользователи обреченно отмахиваются: наши данные уже есть у всех. Интернет-юзеры постоянно находятся под угрозой неприятных инцидентов.
Теперь выясняется, что и биометрическая защита никак не влияет на ситуацию. Радует, что область защиты данных привлекает такой интерес. Остается ждать, что команда энтузиастов найдет способ избежать утечек. Но стопроцентной вероятности не бывает.
