(Сентябрь 2013)
В новых смартфонах Apple завелся биометрический сканер пальца. Это медицинский, что называется, факт. Однако вот к добру сие новшество или наоборот – пока что не очень понятно…
В 2012 году корпорация Apple за 350 миллионов долларов прикупила фирму AuthenTec – изготовителя миниатюрных биометрических сенсоров для распознавания отпечатков пальцев. Довольно скоро после этого, что вряд ли кого удивило, новоприобретенная дочерняя компания прекратила продавать свою продукцию всем конкурентам корпорации-мамы – включая Hewlett-Packard, Dell, Lenovo, ну и конечно же, главнейшего архиврага Samsung.
Даже по этим маневрам было достаточно очевидно, что в Apple наверняка задумали вывести на рынок какую-то новаторскую штуковину на основе биометрической технологии опознания. Летом 2013 подобные домыслы уже вполне авторитетно стали подтверждать знающие эксперты рынка со связями в высших эшелонах корпорации.
По их достоверной, но неофициальной информации, считыватель отпечатка пальца задумано встраивать в мобильные устройства для того, чтобы с его помощью ускорять и делать комфортными электронные платежи, а также доступ к музыке, документам и прочим файлам, хранящимся на удаленных серверах фирменного облачного сервиса…
Официальные инстанции Apple, как обычно, уклонились от комментариев по поводу очередных слухов вокруг их глубоко засекреченных разработок.
Но затем наступил сентябрь, и 10-го числа, в ходе официальной церемонии представления рынку нового смартфона iPhone 5S, вице-президент Apple по маркетингу Фил Шиллер (Phil Schiller) попутно познакомил публику и с самой главной новинкой аппарата – биометрическим сканером отпечатка пальца под названием Touch ID.
Как и все прочие шедевры дизайна, которыми заслуженно славится Apple, дактилоскопический сканер встроен в iPhone не только чрезвычайно элегантно, но и практически незаметно – в кнопку «home», то есть главную (и единственную) управляющую кнопку на лицевой панели смартфона.
Согласно официальному описанию новинки, собственно сканирующий сенсор толщиной 170 микрон расположен под кристаллом сапфира, вырезанном лазером, и обрамлен тонким стальным кольцом детектора, что в совокупности позволяет датчику делать качественный снимок отпечатка пальца с высоким разрешением 550 пикселей на дюйм.
В своей речи Фил Шиллер подчеркнул важность новинки для усиления защиты информации в смартфонах: «Мы помещаем в них столь большую часть нашей жизни… и они находятся с нами повсюду, куда бы нам ни приходилось отправляться… Мы должны защитить эти аппараты»…
Хотя в словах маркетинг-предводителя в явном виде не прозвучало, что сканирование пальца приходит на замену традиционной сегодня защите – вводу пароля для отпирания устройства, – вся структура его выступления подводила слушателей именно к такому выводу. Шиллер, в частности, особо отметил, что согласно исследованиям, лишь половина владельцев айфонов устанавливает ввод пароля в качестве защиты своего устройства. А сканер Touch ID, соответственно, теперь делает отпирание-запирание аппарата простым и удобным.
Более того, аутентификацию Touch ID явно задумано использовать не только в качестве замены парольного замка. В своей речи Шиллер также упомянул мимоходом, что биометрический сканер может быть использован и для покупки товаров в магазине приложений Apple’s App Store – откуда естественным образом следует, что отпечаток пальца владельцев айфонов мыслится на замену паролям для доступа к их аккаунтам в платежных сервисах…
Планы, что ни говори, весьма далеко заводящие, однако в явном виде, следует подчеркнуть, подобные перспективы фирмой Apple еще не озвучены (хотя и обозначены намеками).
Корпорация Apple издавна славится тем, что серьезнейшие проблемы вокруг защиты информации здесь норовят трактовать как аспекты Public Relations, т. е. важных для имиджа взаимоотношений с обществом. Иначе говоря, что есть сил напирают на новаторский характер их высококачественной продукции и ничего по существу не говорят о критично важных внутренних особенностях технологии безопасности.
Действуя по этой давно отработанной схеме, и в случае с представлением рынку технологии Touch ID компания Apple сообщила публике лишь то, что создала «новаторский способ для простого и безопасного отпирания вашего телефона всего лишь одним касанием пальца».
Экзальтированные поклонники брэнда, на ура принимающие практически любую новацию Apple, тут же провозгласили биометрическую фишку аппарата «смертельным ударом по паролям», ну и всякими другими подобными выражениями славословий.
Большая проблема здесь в том, что за всеми технологиями биометрического опознания в целом уже многие годы тянется столь длинный и сомнительный шлейф, что относиться ко всем подобным восторгам следует если и не сразу скептически, то по меньшей мере весьма настороженно.
Насколько хорош и надежен в реальной эксплуатации сканер Touch ID, покажут только тщательные исследования новых айфонов хакерами и прочими специалистами по защите информации. А до тех пор, пока этого не произошло, полезно иметь общее представление о том, что говорят относительно любопытной новинки сведущие люди – как в позитивном, так и в негативном ключе.
Из рекламной информации Apple известно, в частности, что самый передовой, емкостной тактильный сенсор под сапфировым кристаллом кнопки способен делать высокого разрешения снимок «суб-эпидермальных» слоев кожи на пальце пользователя. На основании этой скупой информации как бы следует понимать, что инженеры корпорации разработали такую систему, которая не поддается общеизвестным атакам против биометрических сканеров пальца.
Упрощенно излагая комментарии специалистов, если сканирование пальца происходит в Touch ID на достаточно глубоком уровне, то его, по идее, уже не удастся обмануть такими копиями отпечатка «жертвы», которые делаются на основе остаточных следов, снимаемых с дверной ручки или поверхности стеклянного стакана. Но это, подчеркнем, лишь гипотезы на основе уважения к инженерным талантам Apple.
Другим – безусловно позитивным – доводом за то, что биометрическая идентификация реализована в Apple грамотно, является решение компании хранить отпечатки, во-первых, в «зашифрованном» виде (скорее всего, в виде хеша) и во-вторых, хранить это дело локально в самом айфоне, а не централизованно на серверах компании (типа фирменного сервиса iCloud).
В качестве конкретного места для размещения этой чувствительной к компрометации информации, по свидетельству Apple, выбрано так называемое «безопасное хранилище» в составе нового (и не обеспеченного по сию пору документацией) чипа A7.
Кроме того, насколько это известно сейчас, сенсор Touch ID сделан недоступным для сторонних приложений. Иначе говоря, если хранилище сделано действительно безопасным – нечто вроде аппаратно защищенного модуля для хранения криптографических материалов и ключей, – то все это означает, что Touch ID разработан для серьезного противостояния атакам криминальных хакеров, вредносного ПО и других потенциальных противников (типа спецслужб и бизнес-конкурентов)…
Суммируя комплекс приведенных «доводов за» в нескольких словах, один из авторитетных специалистов по защите информации сказал так: «В целом все это звучит так, как будто Apple реализовал аутентификацию по отпечатку пальца вполне разумно, с высококачественным сенсором и с хранением данных только в телефоне. Но при этом всегда следует помнить одну простую вещь. Скомпрометированный пароль в любой момент можно поменять, а вот поменять палец – крайне затруднительно»…
Иными словами, самое время переходить к «доводам против».
Один из главных минусов Touch ID – это недостаток всех биометрических систем как класса технологий безопасности. В отличие от пароля, пин-кода или криптоключа, здесь нет никакого практичного способа удерживать в секрете отпечатки пальцев, рисунок радужки глаза, ДНК, лицо и все прочие уникально определяющие человека биометрические характеристики.
Хуже того, эти важные характеристики, выражаясь фигурально, постоянно утекают в окружающий мир по мере того, как вы едете в транспорте, закусываете в кафе-ресторанах, ходите в клубы или в кино. По словам одного умелого хакера, уповать в таких условиях на «защиту» биометрии – все равно что разбрасывать повсюду свои пароли доступа, надеясь, что они никого не заинтересуют…
При таких раскладах опираться на отпечаток пальца как на единственный и уникальный инструмент аутентификации – это сразу же поднимать большой и болезненный вопрос: что делать пользователям, когда они узнают, что кому-то удалось эффективно и достоверно клонировать отпечаток, подтверждающий их личность?
Ведь все мы, как ни крути, рождаемся только с одним отпечатком для каждого нашего пальца, с одним рисунком радужки для глаза и только с одной ДНК. И хот ты тресни, но уже ничего не придумаешь на замену, когда подобный «пароль» скомпрометирован…
Всем должно быть понятно, что при любом разговоре о биометрии этот момент всегда должен быть одним из наиважнейших. Однако во всех предпринятых Apple пиар-мероприятиях, анонсировавших новаторский сканер Touch ID в айфонах, отпечатки пальца определенно представляются публике как «замена паролям».
Нигде в рекламе новый iPhone 5S не позиционируют как устройство с «двух-факторной» аутентификацией (предъявить то, что ты знаешь, и то, чем ты являешься). Скорее напротив, телефон преподносится как устройство, в котором один фактор защиты, пароль или «то, что ты знаешь», подменяется на другой фактор – отпечаток пальца или «то, что ты есть».
В принципе, от Apple удалось разузнать, что для некоторых особых случаев пароли в айфонах с биометрией все же оставлены. В частности, пользователи айфонов, желающие использовать Touch ID, должны также создать парольную фразу на случай подстраховки. Только эта парольная фраза (но не палец) смогут отпереть телефон в тех случаях, когда смартфон подвергают перезагрузке, или когда его не отпирали пальцем в течение 48 часов (что мыслится как защита для блокирования усилий хакеров, пытающихся найти способ для обхода сканера отпечатков пальца).
Но в Apple так и не пожелали прояснить, имеется ли у особо озабоченных безопасностью пользователей такая возможность, чтобы их айфон отпирался лишь при двух факторах – после того, как введен правильный пароль и получен надлежащий отпечаток пальца владельца…
Другой большой потенциальный минус безопасности от Touch ID отчетливо просматривается в рекламируемых Apple новых возможностях – просто с помощью «пальца» одобрять покупки на фирменных сайтах-магазинах музыки, приложений и книг (iTunes, App, iBooks).
Как рассуждают здесь аналитики безопасности, если Apple говорит правду о том, что отпечатки пальцев владельцев никогда не покидают их собственное устройство, это означает, что при онлайновых покупках новые айфоны станут отсылать на серверы Apple что-то типа квитанций или «жетонов аутентификации» – дабы подтвердить, что покупатель предъявил надлежащий отпечаток пальца.
Но подобное описание протокольной процедуры сразу порождает беспокойство у специалистов по защите информации. Если злоумышленник находит способ перехватить и затем повторно воспроизводить валидные «жетоны» пользователей, то для преступников это ведет к новым способам захвата пользовательских аккаунтов.
Например, Скотт Мацумото (Scott Matsumoto), эксперт консалтинговой фирмы Cigital по проблемам безопасности ПО, говорит об этой угрозе так: «Магазин должен получить какую-то квитанцию или жетон, которые сообщают, что вы прошли аутентификацию… Но насколько эта квитанция защищена от подделки? Имеется много, очень много способов, которыми вы можете обманывать такие схемы – где аутентификацию клиентской стороны проводят ресурсами со стороны сервера. Когда опять начинают рекламировать подобные штуки, специалистов по защите информации начинает трясти. Это такие вещи, которые я бы лично отключал сразу»…
Подводя итог этому краткому обзору биометрических новаций Apple, еще раз следует подчеркнуть, что про собственно технологию Touch ID пока что известно очень и очень мало. Со стороны Apple содержательную дополнительную информацию ждать не приходится, однако гиперпопулярность айфонов среди публики наверняка привлечет к исследованиям биометрического сканера массу умелых хакеров.
Как показывает многолетний опыт, еще ни одно из коммерчески доступных биометрических устройств опознания не смогло устоять против целенаправленных хакерских атак. Немало конкретных подробностей на данный счет можно найти в статье «Забавные игрушки, или Мифы биометрии» (https://kiwibyrd.org/2013/09/19/2003/ ).
Хотя этот материал готовился довольно давно, никаких революционных прорывов в данной области не происходило. И главным средством борьбы изготовителей биометрических устройств с подобными атаками по-прежнему остается пиар. То есть всяческое замалчивание слабостей технологии.
Насколько долго сумеет выстоять против атак конкретно сканер Touch ID фирмы Apple – покажет лишь время. Но для долгого противостояния шансы, судя по опыту, совсем небольшие.
* * *
P. S. Когда данный материал находился в стадии верстки, германское хакерское движение CCC (Chaos Computer Club) сделало объявление об успешном преодолении биометрической защиты Apple TouchID. Как и практически со всеми прочими дактилоскопическими сенсорами, сканер Apple был преодолен с помощью общедоступных подручных средств. Подробности можно найти тут.
Что, собственно, и ожидалось.
kiwi arXiv 