Обман такого датчика (Touch ID) возможен, но вряд ли угрожает обычному пользователю: для этого понадобится создать трехмерную модель пальца, причем из подходящего материала (на устройствах Apple, более старых, чем iPhone 5S и iPad mini 3, датчик могло обмануть даже отпечатанное на бумаге в высоком разрешении изображение отпечатка пальца), и приложить ее к датчику в течение нескольких часов после кражи устройства. Кроме того, содержимое памяти устройства надежно зашифровано, и на его расшифровку, что далеко не всегда возможно, понадобится дополнительное время и ресурсы.
Android-девайсы
В устройствах под управлением операционной системы Android могут использоваться схожие методы, обеспечивающие достойный уровень защиты. Но они, как правило, применяются в новых и топовых моделях известных брендов. Исследователи время от времени сообщают об успешных попытках взлома таких устройств различными способами, эффективность которых зависит от типа используемого датчика. Так, стандартные емкостные датчики реагируют не только на отпечаток пальца владельца, но и на сделанную с помощью специальных токопроводящих чернил копию отпечатка, имеющую высокое разрешение, а ультразвуковые датчики – на копию пальца, напечатанную на 3D-принтере. Кроме того, практически любой датчик отреагирует на надетый поверх пальца отпечаток, материалом для которого служит тонкая пленка из токопроводящего материала.
Развитие операционной системы Android и биометрических датчиков позволяет постепенно избавиться от уязвимостей, свойственных ранним моделям. Современные версии Android, как и iOS/iPadOS, блокируют доступ к датчику после перезагрузки и через некоторое время с момента последней разблокировки, защищая устройства от несанкционированного доступа. Благодаря изменениям, внесенным в Android, многие (но не все) устройства под управлением этой операционной системы (начиная с 9-й версии) защищены не хуже, чем аналогичные девайсы компании Apple.
Распознавание радужной оболочки
Это один из самых эффективных способов для идентификации и дальнейшей аутентификации личности, основанный на уникальности радужной оболочки глаза человека. Такие системы идентифицируют личность с высокой точностью. Но, к сожалению, их несложно обмануть (если, конечно, это не дорогие промышленные устройства, способные обнаруживать контактные линзы и отличать человеческий глаз от его изображения). К примеру, сканер радужной оболочки в смартфонах Samsung Galaxy S8 и S8+ реагирует на обычную фотографию владельца; главное, чтобы глаза были видны в кадре[88]. Система различает 2D– и 3D-изображения: сканеры реагируют на трехмерное изображение радужной оболочки. Но обойти эту защиту несложно: достаточно наклеить на фотографию глаза контактную линзу. Снимок радужной оболочки владельца смартфона может использоваться не только для разблокировки устройства, но и для подтверждения таких платежей, как Samsung Pay[89]. Поэтому злоумышленник может не только завладеть содержимым устройства, но и опустошить счета владельца.
КЕЙС Ян Кисслер, немецкий исследователь, доказал несовершенство биометрических систем аутентификации. Он смог не только обойти применявшуюся в некоторых ранних моделях Apple iPhone функцию Touch ID (там используется сканер отпечатка пальца), но и обмануть сканер радужной оболочки, скопировав радужку глаза канцлера Германии Ангелы Меркель с фото в высоком разрешении и распечатав узор на контактной линзе[90]. По словам Кисслера, для этой цели годятся даже журнальные снимки. Отпечатки пальцев подделать также просто: преступники могут сфотографировать руку жертвы обычным зеркальным фотоаппаратом с 200-миллиметровым объективом и распечатать специальные ультратонкие перчатки с узором отпечатков.
Для повышения надежности систем аутентификации разные компании пошли различными путями. К примеру, Samsung в смартфоне Galaxy S9 использовала мультимодальную систему биометрической аутентификации – по отпечатку пальца, снимку радужной оболочки и снимку лица, а Apple, учтя недостатки сканеров отпечатков пальцев и радужной оболочки, разработала инновационную технологию Face ID для распознавания лиц. Оба подхода существенно повышают уровень надежности систем аутентификации.
