Наш союзник Bikinika
Ми багато говорили про датчики відбитків пальців і іншу біометрії - і про її небезпечність . І не тільки ми , Зрозуміло.
Схоже, це спрацювало. По крайней мере, на Мобільному конгресі - 2017 Барселоні було багато виробників дактилоскопічних датчиків, які тепер належать до проблеми безпеки зовсім по-іншому.
Еволюція датчика відбитків пальців
Представник норвезької компанії IDEX, що поставляє датчики відбитків пальців в тому числі, наприклад, для LG, стверджує, що вже досить давно жоден виробник смартфонів і планшетів, з якими компанія спілкується, не намагався реалізувати роботу з даними від дактилоскопічного сенсора поза захищеного середовища.
У всіх без винятку виробників, з якими я встиг поспілкуватися на MWC 2017, передбачена безпечна від початку і до кінця схема роботи. «Сирі» дані від дактилоскопічного датчика шифруються, потім з них вичленяються характерні лінії, які теж шифруються і потім відправляються в захищене сховище. Все це відбувається в так званому trusted execution environment - безпечному середовищі, до якої не мають доступу зовнішні процеси.
Деякі виробники датчиків, правда, як і раніше віддають захист на відкуп розробникам кінцевих пристроїв, тобто ті можуть її використовувати, а можуть нею і знехтувати. Але вже як мінімум шифрування на етапі від датчика до процесора реалізується в обов'язковому порядку - раніше саме діряве місце дактилоскопії в смартфонах було саме тут.
Компанія CrucialTec в питанні захисту пішла ще далі і додала до дактилоскопічний сенсорам вбудовані в них датчики серцевого ритму. Це захист від спроб підробити відбиток: ні 3D-зліпок, ні роздруківка на 3D-принтері, ні відрізаний палець в даному випадку не спрацюють, не кажучи вже про роздруківку ліній на звичайному принтері.
Дактилоскопічний сенсор звірить лінії, побачить, що вони збігаються, але датчик серцевого ритму не відчує життя і не дозволить розблокувати смартфон. Це, мабуть, досить серйозний крок в сторону збільшення безпеки ідентифікації за відбитками пальців. Можливо, і такий варіант можна обдурити - але це буде вже явно складніше.
З незвичайність: одна китайська компанія анонсувала дактилоскопічний сенсор, вбудований безпосередньо в скло екрану смартфона. Правда, з певними застереженнями. По-перше, в природі на момент розмови з цими хлопцями на MWC існував єдиний семпл, і він залишився в лабораторії в Китаї. Так що показувати компанії було особливо нічого. По-друге, вони поки ще самі не знають, як користувач буде розуміти, в яку частину дисплея треба ткнути пальцем. Датчика-то не видно! Насправді щось подібне рік тому показувала вже згадана IDEX , Але далі концепту справа теж не пішло.
До речі, в якості області застосування дактилоскопічних сенсорів показували зовсім не тільки смартфони та планшети: виробники пропонують вбудовувати їх, наприклад, в дверні замки або в автомобільні брелоки-ключі. Відразу кілька компаній запропонували гнучкі і дуже тонкі сканери, які цілком можна розмістити в кредитці.
Реалізація при цьому розрізняється: та ж IDEX пропонує використовувати схему без додаткового живлення, а CrucialTec вбудовує в карту батарейку і навіть простенький дисплей, на якому відображається, пройшов користувач ідентифікацію чи ні. Власне, датчик відбитка пальця в кредитці потрібен для того, щоб не мучитися з введенням PIN-коду. До того ж підробити відбиток все-таки набагато складніше, ніж підглядати PIN-код при введенні.
Ще трохи біометрії
Компанія Qualcomm, яка більш безпечні і швидші ультразвукові датчики відбитка пальця SenseID показувала на Мобільному ж конгресі ще два роки тому , В цей раз вирішила запропонувати інший метод аутентифікації - по райдужній оболонці ока. Вона теж унікальна для кожної людини, так що цілком може використовуватися як ключ для розблокування смартфона або підтвердження будь-яких операцій.
Система нова, вбудована вона поки тільки в власні прототипи Qualcomm, але працює вже дивно гладко - швидко і безпомилково. Зрозуміло, чому про реалізацію цієї ідеї в смартфонах заговорили тільки зараз: раніше час включення камери було куди більше, а потужності процесора обробки зображень - куди нижче.
До речі, система розпізнавання райдужної оболонки у виконанні Qualcomm вміє відрізняти копію очі від справжнього очі: на стенді спеціально лежить роздруковане на 3D-принтері особа, і в ньому програма око не виявляє. Наскільки я розумію, захист заснована на тому, що очі постійно рухаються, а у штучного особи вони статичні.
Що цікаво, розпізнаванню райдужки не заважають навіть здоровенні чорні окуляри з низькою прозорістю скла. На жаль, Qualcomm не розкриває, за рахунок чого вдалося цього досягти. Проте розпізнавання райдужної оболонки - це набагато більш безпечна і більш надійна технологія, ніж, наприклад, розпізнавання особи.
Правда, і недолік той же, що і у інших біометричних технологій: якщо зловмисники все-таки навчаться користуватися скомпрометовані біометричними даними (А перспектива впровадження біометрії в банкоматах дає для цього серйозний стимул), оперативно замінити особа, очі або палець буде трохи важко. На відміну від старого доброго пароля.
Кілька інших цікавих проектів з MWC 2017
Всяких цікавих штук, так чи інакше пов'язаних з інформаційною безпекою, на MWC в цьому році не так уже й мало. Та ж сама Qualcomm, наприклад, представляла машинне навчання безпосередньо на пристрої. Тобто процесори Snapdragon тепер мають достатню потужність, щоб тренувати нейромережі. Боязкі спроби були і в минулому році - тоді компанія показувала розпізнавання сюжетів і речей, зображених на картинках, яке поступово ставало все точніше. Тепер же це перетворили в універсальний движок, додали до цього сумісність з багатьма популярними фреймворками і пропонують розробникам.
Це досить-таки важливо, тому що машинне навчання на пристрої дозволяє не передавати ваші дані в хмару і таким чином забезпечувати приватність там, де зараз її немає і в помині. Правда, на даному етапі движок - це всього лише движок. До кінцевого застосування поки ще далеко.
Ну тобто поки існує одне застосування, реалізоване силами тієї ж Qualcomm: технологія App Protect, що дозволяє реалізовувати на апаратно-програмному рівні евристичні алгоритми для пошуку шкідливих програм. Під шкідливими Qualcomm розуміє додатки, які норовлять щось зробити без вашого відома: отримати інформацію про контакти або місцезнаходження, тихенько послати SMS і так далі. За допомогою App Protect їх можна відловлювати і не дозволяти їм лізти куди непотрібно. Правда, сама по собі технологія - це не готове рішення: вона повинна бути частиною захисного комплексу. Ну а наш додаток Kaspersky Antivirus and Security for Android це і так вміє - на програмному рівні.
Взагалі, гуляючи по виставці, помічаєш позитивні зміни в порівнянні з попереднім роком. Зараз майже на кожному стенді хоч де-небудь написано слово «secure» ( «безпечний»), і, навіть якщо за ним толком нічого не варто, видно, що компанії хоча б почали думати про це.
Ну а окремо взятий напрям - біометрична ідентифікація користувача, схоже, може в найближчому майбутньому позбутися багатьох недоліків, які притаманні їй зараз. Повністю безпечної вона, звичайно, не стане ніколи - немає такого поняття, як повна безпека. Але якісь кроки в цьому напрямку робляться, і це здорово.