В то же время злоумышленнику достаточно украсть ваш смартфон, а все ваши отпечатки уже есть на его корпусе, их можно снять и сделать слепок, например с помощью 3D-принтера[79] и клея[80], или изготовить «универсальный» отпечаток[81]. Многие биометрические системы среагируют и на поддельный силиконовый отпечаток, который можно наклеить поверх любого пальца, чтобы обмануть датчик, реагирующий на температуру тела. Причем в некоторых случаях злоумышленнику даже не нужно искать отпечатки пальцев владельца на предметах – достаточно фотографий рук в высоком разрешении. Это доказали исследователи на конференции Chaos Communication Congress 2014, продемонстрировав добытые таким образом отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен[82]. А еще преступники учитывают то, что, скорее всего, владелец использует для аутентификации указательный или большой пальцы. Это удобно, но и неправильно, так как в работе человек пользуется чаще всего именно этими пальцами, а значит, именно их отпечатки есть на устройстве.
Еще одна опасность биометрических систем – возможность кражи баз данных, содержащих в числе прочего биометрическую информацию клиентов. Например, в августе 2019 г. в интернете была обнаружена незащищенная база данных с 27,8 млн записей пользователей системы безопасности Suprema Biostar 2. Эта система обеспечивает биометрическими средствами защиты организации по всему миру, в том числе банковские и правительственные[83]. Среди данных есть незашифрованные имена пользователей с паролями[84], их домашние и электронные адреса, списки сотрудников с указанием уровня доступа и дат доступа на охраняемые объекты, а также биометрические записи (в частности, сведения о распознавании лиц и отпечатков пальцев). Проникнув в такую базу данных, злоумышленник может внести в нее изменения, в том числе заблокировать доступ сотрудников в помещение (например, в полицейском управлении) или создать фиктивные учетные записи на свое имя, получив доступ к любой зарегистрированной в базе организации. Кроме того, биометрические данные могут быть похищены и использованы для проникновения в другие организации, при получении доступа в которые сканируется подушечка пальца или лицо; для проведения целевых фишинговых атак; для взлома личных устройств и систем безопасности пользователей, данные которых находятся в базе данных (особенно если учесть записи о домашних адресах пользователей) и т. п.[85]
Также важно отметить, что многие современные дактилоскопические сканеры реагируют и на отпечаток умершего или находящегося в бессознательном состоянии человека – это существенный недостаток технологии, потенциально угрожающий здоровью и даже жизни владельца особенно ценной информации. К другим недостаткам можно отнести чувствительность сканеров к чистоте и влажности рук, а также изменению рисунка из-за травм и ожогов. Для распознавания отпечатка в таких случаях разработчики биометрических систем прибегают к упрощению хранимых отпечатков (т. е. допускают определенный уровень погрешности). Это отрицательно сказывается на уровне защиты, так как подделать отпечаток для менее «требовательного» сканера становится проще.
Учитывая все перечисленные недостатки, производители дактилоскопических систем продолжают совершенствовать свои технологии и реализуют механизмы защищенного обмена биометрическими данными без доступа к ним внешних процессов (чтобы преступник не мог перехватить данные на их пути от датчика к хранилищу). Сообщалось о том, что французская компания Idemia работает над технологией бесконтактного сканирования отпечатков пальцев: достаточно провести рукой в паре сантиметров от поверхности сканера и несколько встроенных видеокамер зафиксируют движение руки. Компания CrucialTec для повышения надежности своих систем внедрила в них датчик сердечного ритма, а китайский разработчик Real iDentity добавил в сканер датчик микроскопических капель пота: они могут находиться только на коже живых людей. Такие системы не обманешь ни распечатками, ни даже отрезанными пальцами[86]. Вероятно, преступники смогут обойти и эти способы защиты, но это явно будет сложнее.
Устройства компании Apple
В компании Apple данные датчика Touch ID (т. е. отпечатки пальцев владельца) хранятся в виде математических представлений[87] в специальном защищенном хранилище-микрокомпьютере без доступа к интернету. При этом даже односторонние хеш-функции отпечатков зашифрованы, а ключи шифрования вычисляются во время загрузки устройства на основе уникального аппаратного ключа (также хранящегося в защищенном микрокомпьютере без возможности извлечения) и ПИН-кода, вводимого пользователем. После расшифровки данные отпечатков загружаются в оперативную память устройства и никогда не сбрасываются на диск. Кроме того, при определенных обстоятельствах система безопасности удаляет отпечатки из оперативной памяти, чтобы пользователь ввел ПИН-код и смог возобновить работу функции Touch ID. Это происходит, если: устройство перезагружается, добавляется новый отпечаток, устройство удаленно блокируется, происходит пять неудачных попыток разблокировки, проходит 6 суток с момента последнего ввода ПИН-кода или 8 часов с момента разблокировки с помощью Touch ID29. Компания Apple придерживается принципа «приоритетной защиты персональных данных» из-за обоснованных и необоснованных попыток правоохранительных органов получить доступ к устройствам пользователей.
Обман такого датчика (Touch ID) возможен, но вряд ли угрожает обычному пользователю: для этого понадобится создать трехмерную модель пальца, причем из подходящего материала (на устройствах Apple, более старых, чем iPhone 5S и iPad mini 3, датчик могло обмануть даже отпечатанное на бумаге в высоком разрешении изображение отпечатка пальца), и приложить ее к датчику в течение нескольких часов после кражи устройства. Кроме того, содержимое памяти устройства надежно зашифровано, и на его расшифровку, что далеко не всегда возможно, понадобится дополнительное время и ресурсы.
Android-девайсы
В устройствах под управлением операционной системы Android могут использоваться схожие методы, обеспечивающие достойный уровень защиты. Но они, как правило, применяются в новых и топовых моделях известных брендов. Исследователи время от времени сообщают об успешных попытках взлома таких устройств различными способами, эффективность которых зависит от типа используемого датчика. Так, стандартные емкостные датчики реагируют не только на отпечаток пальца владельца, но и на сделанную с помощью специальных токопроводящих чернил копию отпечатка, имеющую высокое разрешение, а ультразвуковые датчики – на копию пальца, напечатанную на 3D-принтере. Кроме того, практически любой датчик отреагирует на надетый поверх пальца отпечаток, материалом для которого служит тонкая пленка из токопроводящего материала.
Развитие операционной системы Android и биометрических датчиков позволяет постепенно избавиться от уязвимостей, свойственных ранним моделям. Современные версии Android, как и iOS/iPadOS, блокируют доступ к датчику после перезагрузки и через некоторое время с момента последней разблокировки, защищая устройства от несанкционированного доступа. Благодаря изменениям, внесенным в Android, многие (но не все) устройства под управлением этой операционной системы (начиная с 9-й версии) защищены не хуже, чем аналогичные девайсы компании Apple.
Это один из самых эффективных способов для идентификации и дальнейшей аутентификации личности, основанный на уникальности радужной оболочки глаза человека. Такие системы идентифицируют личность с высокой точностью. Но, к сожалению, их несложно обмануть (если, конечно, это не дорогие промышленные устройства, способные обнаруживать контактные линзы и отличать человеческий глаз от его изображения). К примеру, сканер радужной оболочки в смартфонах Samsung Galaxy S8 и S8+ реагирует на обычную фотографию владельца; главное, чтобы глаза были видны в кадре[88]. Система различает 2D– и 3D-изображения: сканеры реагируют на трехмерное изображение радужной оболочки. Но обойти эту защиту несложно: достаточно наклеить на фотографию глаза контактную линзу. Снимок радужной оболочки владельца смартфона может использоваться не только для разблокировки устройства, но и для подтверждения таких платежей, как Samsung Pay[89]. Поэтому злоумышленник может не только завладеть содержимым устройства, но и опустошить счета владельца.
КЕЙС Ян Кисслер, немецкий исследователь, доказал несовершенство биометрических систем аутентификации. Он смог не только обойти применявшуюся в некоторых ранних моделях Apple iPhone функцию Touch ID (там используется сканер отпечатка пальца), но и обмануть сканер радужной оболочки, скопировав радужку глаза канцлера Германии Ангелы Меркель с фото в высоком разрешении и распечатав узор на контактной линзе[90]. По словам Кисслера, для этой цели годятся даже журнальные снимки. Отпечатки пальцев подделать также просто: преступники могут сфотографировать руку жертвы обычным зеркальным фотоаппаратом с 200-миллиметровым объективом и распечатать специальные ультратонкие перчатки с узором отпечатков.
Для повышения надежности систем аутентификации разные компании пошли различными путями. К примеру, Samsung в смартфоне Galaxy S9 использовала мультимодальную систему биометрической аутентификации – по отпечатку пальца, снимку радужной оболочки и снимку лица, а Apple, учтя недостатки сканеров отпечатков пальцев и радужной оболочки, разработала инновационную технологию Face ID для распознавания лиц. Оба подхода существенно повышают уровень надежности систем аутентификации.