Aktualności
Skrócona wersja poniższego felietonu autorstwa prof. Ryszarda Tadeusiewicza została opublikowana w Dzienniku Polskim oraz Gazecie Krakowskiej 6.8.2021 r.
W zeszłym tygodniu pisałem o bezpieczeństwie smartfonów, skupiając uwagę na najbardziej podstawowych sprawach: zabezpieczaniu telefonu za pomocą kodu PIN lub rysunku kreślonego palcem na ekranie dla odblokowania „uśpionego” systemu. Dzisiaj chcę wspomnieć o zabezpieczeniach związanych z biometrią, czyli z użyciem jako klucza do systemu cech wyglądu właściciela.
Każdy z nas ma mnóstwo takich cech, które go (czy ją) wyróżniają. Wygląd twarzy (czy całej sylwetki), tembr głosu, charakterystyczny sposób poruszania się, a także bardziej subtelne cechy: kształt dłoni, odcisk palca czy obraz tęczówki (także niepowtarzalny – nie ma dwóch ludzi na świecie, którzy by mieli takie samo rozmieszczenie barwnych elementów w tęczówce oka). Te cechy biometryczne są unikatowe i mogą potwierdzać, że osoba chcąca skorzystać ze smartfona jest tym, za kogo się podaje.
Zastosowanie biometrycznych sposobów identyfikacji jest coraz bardziej popularne.
Przykładem może być metoda Touch ID oparta na odcisku linii papilarnych. Bardzo wiele smartfonów jest już wyposażonych w tę funkcję i jest ona chwalona przez użytkowników. Dużo łatwiej jest przyłożyć palec, w celu odblokowania ekranu, niż zapamiętywać hasło i za każdym razem je wpisywać. Jest to wygodne i bardzo przydatne, gdy chcemy zaoszczędzić czas, jednak ta metoda ma swoje słabe punkty. Haker może pozyskać odcisk palca upatrzonej osoby z dowolnego dotkniętego przez nią przedmiotu. Zademonstrowano, że udało się oszukać czytnik linii papilarnych w smartfonie z Androidem za pomocą zwykłej drukarki oraz błyszczącego papieru.
Fakt, że telefon „otwierany” odciskiem palca musi pamiętać „wzorzec” odcisku właściciela, jest też niepokojący. Do takiego wzorca może dobrać się haker, który w taki czy inny sposób, często zdalnie, uzyska dostęp do wnętrza telefonu. Teoretycznie do tej informacji może mieć także dostęp producent telefonu, bo tylko on wie, co jest „zaszyte” w jego oprogramowaniu. Można sobie wyobrazić (nie twierdzę, że tak jest, tylko stwierdzam, że technicznie jest to możliwe), że mój telefon - poza komunikacją z Internetem i innymi abonentami - może wysyłać także różne raporty na mój temat do producenta, o czym ja nie będę miał pojęcia. Podkreślam: piszę tu o możliwościach, a nie o udowodnionych praktykach, ale perspektywa, że ktoś będzie posiadał dokładny wizerunek moich linii papilarnych i użyje ich w sobie tylko znanym celu – jest niepokojąca.
Istnieje również opcja odblokowania telefonu swoją twarzą, czyli tzw. FastAccess. O ile do oszukania czytnika papilarnych trzeba się przyłożyć, bo zdobycie zdjęcia czyjegoś odcisku palca nie jest łatwe, to do oszukania odblokowywania telefonu twarzą wystarczy zwykłe zdjęcie danej osoby. Nie jest to zatem polecany sposób zabezpieczania swojego telefonu.
Wśród metod biometrycznych możemy również wyróżnić skaner tęczówki, który tak samo jak przy liniach papilarnych zapewnia nam niepowtarzalność naszego „hasła”. Do tej pory ta metoda jest jednak mało wygodna – trzeba przybliżyć oko do czytnika, nie mrugać, a samo skanowanie tęczówki musi przebiegać w dobrze oświetlonym pomieszczeniu. Mogą również pojawić się problemy przy noszeniu soczewek lub okularów, chociaż wnioskując z opinii krążących o tej metodzie, raczej rzadko się pojawiają. Niemniej ten rodzaj zabezpieczenia częściej spotykamy przy biometrycznie strzeżonych drzwiach, a nie smartfonach.
Warto może dla domknięcia tematu napisać o jeszcze jednej formie zabezpieczenia – pozornie bardzo silnej, a w istocie dość problematycznej, gdy się jej bliżej przyjrzeć.
Niektóre aplikacje (zwłaszcza bankowe) oferują mianowicie dwuetapowe zabezpieczenia, pozornie bardzo mocne. Gdy loguję się do konta, to muszę podać hasło. Ale bywa ono (dla wygody) zapamiętane w smartfonie i jest podawane automatycznie, więc ktoś, kto ma w ręce mój smartfon może wejść do mojego banku bez przeszkód. No ale gdy włamywacz zechce pobrać moje pieniądze – to bank postawi mu kolejną przeszkodę: trzeba będzie wpisać jednorazowy pin-kod. A skąd go wziąć? Otóż bank przyśle to jednorazowe hasło smsem na mój telefon. Ten ukradziony!
I to ma być zabezpieczenie?
Jak uniknąć katastrofy w TUNELU? | Bunkier Nauki odc. 50 
Jak nie dać się KLESZCZOM? | Bunkier Nauki odc. 49 
Jak podbijamy nanoświat – AGH NAUKA spotkania (nr 25) 
Jak samodzielnie wynieść 1000 worków śmieci z lasów? | Bunkier Nauki odc. 48 
Obalamy MITY na temat sieci 5G – czy jest się czego bać? | Bunkier Nauki odc. 47 
Ponad pół miliona zł na wsparcie kół naukowych AGH 
Wakacyjny pobyt ukraińskich dzieci w Łukęcinie. Apel do społeczności akademickiej AGH 
Spotkanie środowiska akademickiego Małopolski z Ministrem Nauki