Компания Apple почти не улучшила технологию безопасности Touch ID, используемую в своем последнем смартфоне iPhone 6, утверждает исследователь безопасности Марк Роджерс из Lookout Security (со ссылкой на CNET). Как продемонстрировал Роджерс, новейшие модели iPhone уязвимы для взлома с использованием той же техники поддельных отпечатков пальцев, впервые представленной на iPhone 5s.
Эта техника требует, чтобы хакер снял подходящий отпечаток пальца с твердой поверхности и создал его копию с помощью криминалистических методов, требующих специализированного оборудования. При правильном выполнении эти реплики отпечатков пальцев могут активировать сенсоры Touch ID как на iPhone 6, так и на iPhone 5s.
К сожалению, существенных улучшений сенсора между этими двумя устройствами практически не произошло. Фальшивые отпечатки пальцев, созданные с использованием моей предыдущей техники, смогли легко обмануть оба устройства.
Роджерс добавляет, что единственные изменения в Touch ID, по-видимому, касаются чувствительности сканера отпечатков пальцев iPhone 6, причем iPhone 6, возможно, поддерживает более высокое разрешение сканирования. Этот улучшенный сканер затрудняет клонирование отпечатка пальца неквалифицированным преступником, но он не добавляет никаких дополнительных мер безопасности, таких как требование ввода пароля по времени, к системе аутентификации Touch ID.
Touch ID может обеспечить достаточный уровень безопасности для разблокировки телефонов, но Роджерс ставит под сомнение его эффективность как сдерживающего фактора против гораздо более прибыльной кражи данных кредитных карт и мобильных платежей. Поскольку Apple открывает свой iPhone 6 для мобильных платежей с помощью Apple Pay, потенциал для такого вида кражи становится более вероятным, поскольку преступники начинают нацеливаться на пользователей iPhone с целью эксплуатации этих мобильных транзакций. Тем не менее, сложность создания фальшивого отпечатка пальца означает, что пользователи с гораздо большей вероятностью пострадают от украденной пластиковой кредитной карты, чем от поддельного отпечатка пальца Touch ID, связанного с Apple Pay.
[В]сё не так страшно. Атака требует навыков, терпения и действительно хорошей копии чьего-то отпечатка пальца — любой старый смазанный след не подойдет. Более того, процесс превращения этого отпечатка в пригодную для использования копию настолько сложен, что маловероятно, что он будет представлять угрозу для чего-либо, кроме целенаправленной атаки со стороны изощренного злоумышленника.
Apple Pay — это новая инициатива Apple в области мобильных платежей, которая появится с обновлением программного обеспечения iOS в следующем месяце. Система использует NFC для беспроводной обработки платежей с помощью одноразового токена и авторизации Touch ID для безопасности. Apple сотрудничает с компаниями-эмитентами кредитных карт и розничными продавцами в США, включая Walgreens, Macy’s и Nike, для запуска сервиса.