Nabízejí čtečky otisku prstů na mobilních zařízeních pouze falešný pocit bezpečí?

Čtečky otisků prstů již nejsou pouze doménou drahých zařízení. Stále více levnějších mobilních telefonů již tento typ zabezpečení nabízejí také. Otázkou ale je, zdali čtečka otisku nenabízí pouze falešný pocit bezpečí. Jakou pozornost výrobci mobilních zařízení věnují zabezpečení naskenovaných prstů? Jak řeší samotná čtecí zařízení proti jejich zneužití?

V první řadě je potřeba si říci, že čtečky nejsou bezchybné a dnes neexistuje prakticky žádný způsob zabezpečení, který by byl stoprocentní. Když pomineme to, že čtečka nemusí být vždy spolehlivá a to zejména na levnějších přístrojích, je také nutné počítat s tím, že se nejedná o všemocný bezpečnostní prvek. Pakliže se podíváme do historie zjistíme, že například v roce 2015 čelily společnosti HTC a Samsung nepříjemné skutečnosti, kdy bylo zjištěno, že jejich modely HTC One Max a Galaxy S5 ukládají naskenované údaje v nešifrované podobě bitmapových snímků čitelných jakoukoliv aplikací. Od té doby se jistě nejen tyto dvě společnosti poučily a svá data se snažil lépe zabezpečit. Je to ale zcela názorná ukázka toho, jak sám výrobce dokáže zcela znehodnotit význam bezpečnostního prvku, který má paradoxně zařízení chránit.

Zajímavá studie je k přečtení na webu Blackhat.com (v anglickém jazyce).

Toto ale není jediný případ. Mnoho mobilních zařízení mají čtecí senzory špatně zabezpečeny a lze je tak jednoduše zneužít. Rovněž mnoho senzorů nedokáže rozlišit opravdový otisk od jeho padělku. Stačí tak otisk replikovat a čtečka by jej měla bez problému rozpoznat jako originál. Toto má například velmi dobře ošetřené Apple u svých mobilních zařízení. Ten totiž své čtecí senzory již vybavuje šifrovacím mechanismem na úrovni senzoru. Problémy na zařízeních Android by mohly být z části vyřešeny výrobcem Qualcomm, který by měl uvolnit tzv. ultrazvukový 3D skener, který by měl zamezit matení čtecího zařízení falešným otiskem. Tento 3D skener bude porovnávat otisk prstu oproti originálu a to ve 3D a dokáže jej rozpoznat a i když bude prst mokrý, nebo špinavý.

Na druhou stranu například čínský výrobce Huawei používá pro ukládání citlivých dat včetně naskenovaných otisků prstu tzv. ARM TrustZone. Jedná se o vyhrazené virtuální prostředí, do kterého nemá přístup systém Android a data jsou tak relativně chráněná před napadením samotného systému a aplikacemi třetích stran.

Nevěřte marketingovým slibům, že se čtečkou otisku prstu jste v bezpečí

Výzkumy prokázaly, že není žádný problém otisk prstu zneužít. Není tak pravda, že otisk prstu je těžké odcizit. Stačí kvalitní fotografie struktury prstu, která se poté vytiskne ve vysokém rozlišení a je hotovo. Podobně lze zneužít i zabezpečení použitím oční duhovky. Bezpečnostní společnost Kaspersky Lab doporučuje, pakliže vlastníte mobilní zařízení se čtečkou otisku, postupovat podle těchto pravidel:

  •   Nepoužívejte otisk prstu k zabezpečení bankovních aplikací, bankovních účtů a aplikací, které přistupují bankovním účtům. Nikdy nevíte, kdy vám bude telefon ukraden a nezapomeňte, že při troše šikovnosti může záškodník přijít k vašim otiskům prstů ulpělých na povrchu zařízení. Ty pak stačí pouze zreplikovat a dále zneužít. Přeci jen použití správně zvoleného hesla jste více zabezpečeni, než se čtečkou.
  • Drtivá většina uživatelů používá k naskenování prstu buď palec, nebo ukazováček. Jedná se ale o nejčastěji používané prsty při používání mobilního telefonu. Je tak stoprocentní jistota, že otisky těchto prstů bude telefon přímo posetý. Útočník tak získá lehký způsob, jak si nějaký kvalitní otisk opatřit. Naopak je doporučeno použít k zabezpečení jiný prst, než tyto dva. Sice bude odemykání méně pohodlné, ale budeme více v bezpečí

Tento článek neměl za úkol vás strašit a zrazovat od této moderní technologie zabezpečení telefonu. Měl by ve vás probudit větší povědomí o tom, že každý bezpečnostní prvek může obsahovat i zranitelnost. Je to vždy na uživateli, zdali se plně spolehne na jeden způsob, nebo bude dbát obecných bezpečnostních pravidel a především bude používat selský rozum.

Jaký je váš názor na čtečky otisků prstů? Věříte jim, nebo používáte jiný způsob? Přikládáte zabezpečení mobilního zařízení důležitost, nebo tuto oblast neřešíte? Napište nám do komentářů.

 
Jakub Sobotka

Jakub Sobotka

IT geek, milovník mobilních technologií, blogger ... Ve volném čase sedlá horský bajk, rád fotí a tráví čas se svou rodinou ..... šéfredaktor a zakladatel webu Techbrain.cz

Komentář

Nový komentář