Не прячьте ваши пальчики

Чем дальше, тем больше смартфонов комплектуются дактилоскопическим датчиком. Если раньше подобную функциональность можно было встретить только в гаджетах «высшего эшелона», то сегодня «датчиком отпечатка» комплектуются и вполне доступные модели. Но так ли это безопасно?

С помощью сканера отпечатков производители смартфонов и разработчики программного обеспечения предлагают уже не только защитить доступ к самому смартфону, но и обезопасить банковские приложения и вообще любой софт, так или иначе имеющий отношение к денежным средствам владельца гаджета. Пользователь может, к примеру, отказавшись от постоянного ввода пароля, осуществлять покупки в магазине приложений с помощью отпечатка пальца.

Более того, дактилоскопические сенсоры отлично существуют и в отрыве от смартфона: в конце сентября «Азбука вкуса» предоставила клиентам возможность расплачиваться с помощью отпечатка пальца, «привязанного» к банковской карте, в одном из магазинов торговой сети. Все это, конечно, хорошо, но немного настораживает: вспоминается один из эпизодов научно-популярного шоу, в котором ведущие довольно легко обходили дактилоскопический датчик на дверном замке.

Как устроены подобные датчики

Самыми первыми датчиками отпечатков пальцев, появившимися на мобильных устройствах, были датчики оптические. Они же были и самими простыми: в зависимости от типа датчик либо «фотографирует» отпечаток целиком, либо довольствуется изображением рисунка бороздок. Главная проблема подобных устройств — низкая защищенность. Их относительно просто можно было обмануть с помощью муляжа.

Еще один тип сканеров, полупроводниковый, считывал рисунок пальца благодаря изменению характеристик поверхности в местах соприкосновения. К примеру, «оттиск» строился по изменению температуры под бороздками. Однако при нагреве качество распознавания сильно ухудшалось.

Наиболее популярным и распространенным типом сенсора является емкостный. Немалую роль в этом сыграла компания Apple, создавшая быстрый и небольшой по размерам датчик отпечатков пальцев, спрятанный в кнопке «Домой». Такие датчики получают рисунок папиллярного узора с помощью множества конденсаторов в поверхности, заряд которых изменяют бороздки на пальцах.

Наиболее перспективный — ультразвуковой тип сенсоров. К примеру, Qualcomm Sense ID, который уже используется в некоторых моделях смартфонов. В отличие от остальных типов, ультразвуковой датчик не просто сохраняет рисунок папиллярных линий, а создает, по сути, трехмерную модель пальца, фиксируя множество дополнительных параметров, которые остальные сенсоры попросту не в состоянии были воспринять. Интересно, что выиграют от его применения не только пользователи, но и производители: такой датчик можно расположить не в специально отведенной для него части корпуса, а вообще под экраном.

Возможно ли взломать

Первые массовые дактилоскопические сенсоры взломать оказалось довольно просто. Для взлома оптическому датчику достаточно было «показать» рисунок папиллярных линий пальца. Причем для этого не требовалось даже высокого качества изображения. А как дело обстоит сейчас? Насколько легко обмануть самый распространенный тип сенсоров?

Как выяснилось, ничего сложного в этом нет. Требуется лишь немного больше времени на подготовку. Так, в марте этого года исследователи Университета штата Мичиган обнаружили, что если распечатать инвертированный отпечаток пальца на обычном струйном принтере с помощью специальных электропроводящих чернил, то этот «оттиск» позволит обойти защиту смартфона.

Итак, имея познания в химии, отпечаток можно воссоздать. Другой вопрос — где взять оригинал? Довольно интересный способ сделать это был продемонстрирован еще 2014 году на «хакерском слете» Chaos Communication Congress. Хакер Ян Крисслер (Jan Krissler), известный под ником Starbug, воспользовался официальным фотобанком пресс-службы министерства обороны Германии и благодаря фотографиям высокого качества сумел, используя специальное ПО, создать дубликат отпечатка.

Пользуйтесь, если удобно

Однако эксперты считают, что современные способы аутентификации по отпечатку ничуть не хуже других вариантов защиты, даже несмотря на то, что они не слишком надежны: «на бытовом уровне это вещь вполне удобная и обеспечивающая определенный уровень безопасности. Тот же пароль, ПИН-код, ответ на секретный вопрос могут подсмотреть, украсть, найти, взломать. Отпечаток пальца в этом отношении не сильно уступает по защищенности другим вариантам. А по скорости ввода часто превосходит их», — говорит руководитель аналитического центра Zecurion Владимир Ульянов.

Здесь будет уместно вспомнить о крайне нетривиальном способе кражи паролей, продемонстрированном на все том же Chaos Communication Congress. Для выполнения атаки требуется доступ к фронтальной камере смартфона, после чего, используя ее, исследователи смогли получить фотографию глаза владельца смартфона, в котором отражалось содержимое экрана устройства.

«Сканеры, которые ставят в обычную «бытовую» технику, смартфоны экономкласса — это тоже бюджетные устройства со своими недостатками. Но от них, по большому счету, и не требуется решения больших задач. Не досаждает владельцу навязчивостью, распознает относительно точно — и хорошо. Но в серьезных биометрических системах такие сканеры использовать нельзя. Необходимо проверять соответствие нескольких биометрических параметров, и желательно более надежных, чем отпечатки пальцев», — считает эксперт.

В пользу «бытовой» дактилоскопии говорит и то, что со временем разработчики научились защищать эталонный отпечаток пальца, хранящийся в смартфоне. Если раньше в некоторых устройствах он мог храниться «открыто» чуть ли не в виде картинки, то сегодня выкрасть его довольно трудно: производители чипсетов предусмотрели возможность сохранения данных об отпечатке в отдельном чипе или в специальной «доверенной области» чипсета.

Доступа к этой зоне у программного обеспечения нет: условно говоря, оно может лишь получить от «железа» ответы «да» или «нет» на вопрос «соответствует ли вводимый отпечаток оригиналу?». Кроме того, больше рисунок папиллярных линий уже не сохраняется в оригинале. Вместо этого создается математический шаблон узора, восстановить из которого отпечаток невозможно.

Павел ШОШИН, Banki.ru