Уязвимости биометрии
Изучая различные системы защиты, ты наверняка сталкивался с мнением, что биометрия – это круто. Уникальность рисунка отпечатка пальца или сетчатки глаза позволяет однозначно определить пользователя. Поэтому аутентификация по биологическим параметрам – вещь крайне надёжная.
Но говоря так, специалисты обычно не упоминают тот факт, что ответственность за корректное распознавание пальца, глаза или лица несёт считывающее устройство. А вот у него могут случиться и косяки.
Считывающая железка «запоминает» некоторые узловые точки биологического рисунка и сверяет их каждый раз во время сеанса аутентификации. Чем круче сканер, тем больше точек он запоминает. Первые ноутбуки с функцией блокировки по отпечатку пальца вскрывались перебором отпечатков ближайших друзей «взломщика». Современные системы, конечно же, стали на несколько порядков суровее. Но и здесь случаются обломы.
Вот и на этой неделе в сеть попала история о том, как муж подарил жене Samsung Galaxy S10, та защитила телефон отпечатком своего пальца, наклеила на экран защитную плёнку, а потом вдруг обнаружила, что через эту самую плёнку разблокировать телефон может и сам её муж, и её сестра.
Самсунг и ранее попадал в истории с биометрией. Например, при определённых обстоятельствах, он может распознать ваше лицо на фотографии и разблокироваться.
В общем-то, это вся новость. Но я добавлю немножко размышлений. Во-первых, вопросы биометрической защиты – это действительно крайне важные вопросы. С учётом справедливой уверенности специалистов в надёжности этих методов, многие защитные системы включают в себя сканеры биологических рисунков. А это значит, что любая уязвимость такого сканера должна сразу же отрабатываться и закрываться.
Во-вторых, такого рода промахи сказываются на репутации разработчиков продукта. И само по себе обнаружение таких дыр в защите несёт те самые пресловутые репутационные потери, которые, конечно, играют на руку конкурентам скомпрометированной компании.
Я ни в коем случае не утверждаю, что данная история может считаться заказной. Наоборот, все подобные ошибки должны публиковаться, дабы не допустить кражу информации. Но для полноты картинки оба этих пункта обозначить стоило.