Moim zdaniem. O bezpieczeństwie smartfonów raz jeszcze
W zeszłym tygodniu pisałem o bezpieczeństwie smartfonów, skupiając uwagę na najbardziej podstawowych sprawach: zabezpieczaniu telefonu za pomocą kodu PIN lub rysunku kreślonego palcem na ekranie dla odblokowania „uśpionego” systemu. Dzisiaj chcę wspomnieć o zabezpieczeniach związanych z biometrią, czyli z użyciem jako klucza do systemu cech wyglądu właściciela. Każdy z nas ma mnóstwo takich cech, które są unikatowe i mogą potwierdzać, że jest on tym, za kogo się podaje.
Przykładem może być metoda Touch ID oparta na odcisku linii papilarnych. Bardzo wiele smartfonów jest już wyposażonych w tę funkcję i jest ona chwalona przez użytkowników. Dużo łatwiej jest przyłożyć palec w celu odblokowania ekranu niż zapamiętywać hasło i za każdym razem je wpisywać. Jest to wygodne i bardzo przydatne, gdy chcemy zaoszczędzić czas, jednak ta metoda ma słabe punkty. Haker może pozyskać odcisk palca upatrzonej osoby z dowolnego dotkniętego przez nią przedmiotu. Zademonstrowano, że udało się oszukać czytnik linii papilarnych w smartfonie z Androidem za pomocą zwykłej drukarki oraz błyszczącego papieru.
Fakt, że telefon „otwierany” odciskiem palca musi pamiętać „wzorzec” odcisku właściciela, jest też niepokojący. Do takiego wzorca może dobrać się haker, który w taki czy inny sposób, często zdalnie, uzyska dostęp do wnętrza telefonu. Teoretycznie do tej informacji może mieć także dostęp producent telefonu, bo tylko on wie, co jest „zaszyte” w jego oprogramowaniu. Można sobie wyobrazić (nie twierdzę, że tak jest, tylko stwierdzam, że technicznie jest to możliwe), że mój telefon - poza komunikacją z Internetem i innymi abonentami - może wysyłać także różne raporty na mój temat do producenta, o czym ja nie będę miał pojęcia. Podkreślam: piszę tu o możliwościach, a nie o udowodnionych praktykach, ale perspektywa, że ktoś będzie posiadał wizerunek moich linii papilarnych i użyje ich w sobie tylko znanym celu - jest niepokojąca.
Istnieje również opcja odblokowania telefonu swoją twarzą, czyli tzw. FastAccess. O ile do oszukania czytnika papilarnych trzeba się przyłożyć, bo zdobycie zdjęcia czyjegoś odcisku palca nie jest łatwe, to do oszukania odblokowywania telefonu twarzą wystarczy zwykłe zdjęcie danej osoby.
Wśród metod biometrycznych możemy również wyróżnić skaner tęczówki, który tak samo jak przy liniach papilarnych zapewnia nam niepowtarzalność naszego „hasła”. Do tej pory ta metoda jest jednak mało wygodna - trzeba przybliżyć oko do czytnika, nie mrugać, a samo skanowanie tęczówki musi przebiegać w dobrze oświetlonym pomieszczeniu. Mogą również pojawić się problemy przy noszeniu soczewek lub okularów, chociaż wnioskując z opinii krążących o tej metodzie, raczej rzadko się pojawiają. Niemniej ten rodzaj zabezpieczenia częściej spotykamy przy biometrycznie strzeżonych drzwiach, a nie smartfonach.
Warto może dla domknięcia tematu napisać o jeszcze jednej formie zabezpieczenia - pozornie bardzo silnej, a w istocie dość problematycznej, gdy się jej bliżej przyjrzeć.
Niektóre aplikacje (zwłaszcza bankowe) oferują mianowicie dwuetapowe zabezpieczenia, pozornie bardzo mocne. Gdy loguję się do konta, to muszę podać hasło. Ale bywa ono (dla wygody) zapamiętane w smartfonie i jest podawane automatycznie, więc ktoś, kto ma w ręce mój smartfon, może wejść do mojego banku bez przeszkód. No ale gdy włamywacz zechce pobrać moje pieniądze - to bank postawi mu kolejną przeszkodę: trzeba będzie wpisać jednorazowy pin-kod. A skąd go wziąć? Otóż bank przyśle to jednorazowe hasło esemesem na mój telefon. Ten ukradziony! I to ma być zabezpieczenie?