• #НЕБЕЗОПАСНОСТЬ

Сериал "Небезопасность". Эпизод 2.
Массовая уязвимость в приложениях с технологией Touch ID

Авторы очень многих приложений для устройств от Apple поспешили воспользоваться преимуществами технологии Touch ID для удобства своих пользователей. Несмотря на то, что недостатки технологии биометрической авторизации уже много лет демонстрируются в кино из Голливуда.

Можно ли сегодня полагаться только на биометрическую защиту? Безопасно ли это?

Начиная с 2014-го года Apple считает, что можно.

До появления Touch ID приложения были защищены только собственным кодом, что было существенно безопаснее. Теперь, когда есть Touch ID, вы можете набирать десятки и сотни кодов от приложений, но они абсолютно не прибавляют в защите - это пустая трата времени и иллюзия безопасности. Между тем, разглашение людьми личного пароля от телефона стало сегодня слишком обычным делом. Люди доверяют свои пароли семье, друзьям, и зачастую даже просто случайным прохожим. Это гораздо удобнее, чем набирать пароль каждый раз, передавая телефон из рук в руки. Попробуйте вспомнить, было ли такое, что вы или вам задавали вопрос "Какой у тебя пароль?". Или бывает ли так, что вы набираете пароль под глазом видеокамеры. В этот момент удобство отодвигает безопасность далеко на задний план.

Мы проверили приложения, которые считаются самыми защищенными, т.е. финансовые приложения, банковские, для доступа к удаленным устройствам и компьютерам, интернет-магазины, хранители паролей, записные книжки, таск-менеджеры, облачные хранилища и разные другие.

Обойти пароли от входа в приложения возможно в случае, когда пароль на iPhone не установлен или известен злоумышленнику. Он может просто добавить в систему новый отпечаток пальца и использовать его для входа по Touch ID.

Знать пароль самого приложения не требуется.

Чтобы приложение было защищено, в момент запуска оно должно проверять - не появились ли новые отпечатки с момента последнего входа. Если новые отпечатки есть, то вход должен работать только по паролю приложения ¹. Так работает защита AppStore и некоторых других приложений.

Разработчикам протестированных нами приложений направлены результаты исследования и рекомендации о методе защиты.

По информации, имеющейся у лаборатории информационной безопасности «Кадмус», ответные действия на предоставленные рекомендации уже оперативно предприняты службой информационной безопасности банка "Сбербанк": алгоритм входа в банковское приложение по отпечатку пальца изменен, чтобы гарантировать защиту данных пользователей.

Клиентам банка достаточно обновить приложение на iPhone с функцией Touch ID, чтобы включилась дополнительная защита.

Пользователям приложений с Touch ID, для повышения своей защищенности, мы рекомендуем:

• всегда использовать пароль на телефоне (усиленный, если вы видите в этом необходимость);
• отключать Touch ID в настройках важных приложений, если такая возможность предусмотрена;
• называть отпечатки понятными именами, включая в название имя владельца отпечатка и какой палец какой руки. Так можно проверить подмену отпечатка в будущем;
• не набирать пароль, когда кто-то видит экран вашего телефона;
• не сообщать пароль тем, кому вы не доверяете на 100%;
• не попадать в поле действия видеокамер в момент набора пароля;
• в случае потери телефона незамедлительно блокировать его через iCloud.

Мы открыты для сотрудничества и готовы обратить свои знания и опыт на пользу вашему бизнесу или лично вам. Если у вас есть задачи, связанные с информационной безопасностью, то напишите нам на эл. почту mail@cadmus.ru

В знании - сила! Поделитесь этим знанием со своими друзьями. Кому-то это наверняка поможет.

1. Технические подробности на GeekTimes

Предыдущая статья: Сериал "Небезопасность". Эпизод 1.
Доступ к счету в банке через заблокированный iPhone и обзор других методов взлома Siri

Приглашаем подписаться на новые выпуски в социальных сетях: