Эксперты по безопасности не советуют полагаться на отпечатки пальцев в смартфонах

smar

Эксперты по кибербезопасности Аарон Тернер и Джорджия Вайдман на конференции RSA в Сан-Франциско обсудили двухфакторную аутентификацию и биометрию как средство защиты телефона.

Вайдман сказал, что отпечаток пальца и распознавания лица лучше, чем ничего, но настоящую защиту по-прежнему обеспечивает только пароль. Его коллега Тернер настроен в отношении сканеров даже более скептично.

«Я принципиально против использования биометрии, потому что она не надежна», — сказал Тернер и привел в пример случай, когда бандиты отрезали человеку палец, чтобы получить доступ к его телефону.

«Считыватели отпечатков пальцев — это просто биометрические игрушки», — считает Тернер.

По его словам, действенным методом защиты является двухфакторная аутентификация с помощью приложений, таких как Authy или Google Authenticator. Однако их ни в коем случае нельзя использовать на старых смартфонах с устаревшими операционными системами. Проблема заключается в том, что если злоумышленник или вредоносная программа смогут проникнуть в ядро ​​iOS или Android, то они могут делать все, что захотят, в том числе запускать поддельные экраны приложения-аутентификатора.

«У одного из моих клиентов был iPhone 4 и он использовал для аутентификации Microsoft Authenticator, — сказал Тернер. — Все, что нужно было сделать злоумышленнику — это воспользоваться уязвимостью iPhone 4. Мой клиент путешествовал по стране с высоким уровнем риска, в результате его телефон был клонирован, а затем с его аккаунтами произошло много всего интересного».

В качестве доказательства, Вайдман извлек ключи шифрования из старого iPhone за считанные секунды прямо на сцене.

Приложения-аутентификаторы считаются надежнее, чем SMS-коды, потому что коды приложений не могут быть перехвачены по беспроводной сети, они не привязаны к номеру телефона и никогда не покидают устройство. Но пользователи приложений все равно уязвимы для фишинг-атак. По словам Тернера, единственной гарантированной формой защиты на данный момент является аппаратный ключ, такой как Yubikey или Google Titan.