Už i ve WhatsAppu je to několik měsíců možné: pokud si chcete zabezpečit obzvlášť citlivé konverzace v mobilním telefonu, můžete je několika kliknutími "zamknout". Pro opětovný přístup je pak nutné zadat heslo, otisk prstu nebo sken obličeje.
Podobně funguje i mnoho dalších služeb. Každý, kdo převádí peníze online, může autorizovat transakce pomocí otisku prstu. Displej mobilního telefonu lze odemknout nejen pomocí kódu PIN, ale také skenem prstu nebo obličeje.
Na první pohled se tyto metody zabezpečení zdají být obzvlášť bezpečné. Hesla, číselné kombinace, nebo gesta lze ukrást, ale otisky prstů a obličeje nikoliv – alespoň tak zní obecný názor. Nicméně není to tak úplně pravda.
Krádež otisku prstu: už se to stalo
Připomeňme si incident z doby před deseti lety, kdy se počítačovým expertům v Chaos Computer Clubu podařilo získat otisk prstu šéfky Evropské komise. Stačil k tomu obrázek z tiskové konference, na kterém byl viditelný její palec.
Úspěšný padělatel k tomu vysvětlil, že k získání otisku použil speciální software. Celá věc ale mohla být provedena i "ručně".
K vyvrácení představy, že otisk prstu je neprolomitelný, tedy došlo už před deseti lety. Důsledky tohoto zjištění jsou ale neméně důležité i dnes, kdy se tato metoda verifikace oprávněného uživatele rozšířila na celou řadu aplikací.
Mohlo by vás zajímat
Potenciální nebezpečí v sobě skrývá ochota mnoha uživatelů sdílet své fotografie na nejrůznějších sociálních sítích. Získat snímky rukou nebo obličejů už není žádný velký problém, je to naopak snadnější než kdy dříve. Zveřejňované snímky jsou také často mnohem ostřejší než před lety, což mimo jiné znamená, že mnohem přesněji zobrazují citlivé rysy.
Studie ukazuje, že otisky prstů lze nahrát
Nejen fotky ale mohou být pro uživatele rizikové. Výzkumníci z USA a Číny zjistili, že otisky prstů lze "zachytit" pomocí mikrofonu (!) mobilního telefonu. Touto metodou se jim podařilo identifikovat klíčové charakteristiky otisků prstů.
Odhalila to nedávno zveřejněná studie s názvem "PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound". Odposlech umožnila kombinace několika algoritmů takzvaného PrintListeneru, odposlouchávače otisku prstu.
Mohlo by vás zajímat
Uživatelé se dotýkají obrazovky mobilního telefonu nejen při jeho odemykání, ale také při používání jednotlivých aplikací. Pokud je aktivován mikrofon, například v aplikacích Skype, Microsoft Teams nebo Discord, lze podle výzkumníků vyvodit závěry o otisku prstu.
Bezpečnostní experti jsou také přesvědčeni, že z hlediska kybernetické bezpečnosti mohou být problematické i senzory, které jsou zabudovány v mobilních telefonech. Například snímač zrychlení může být zneužit i jako keylogger, tedy k záznamu stisknutých kláves.
Scénáře ohrožení, jako je například odposlech otisků prstů nebo padělání fotografií, ale nejsou běžné. Získání takových údajů a jejich následné zneužití k odemknutí mobilního telefonu na dálku je proveditelné jen stěží nebo pouze s vynaložením velkého úsilí.
Rozpoznávání obličeje bylo předmětem velké kritiky
v roce 2019 došli experti z nizozemské organizace pro ochranu spotřebitelů Consumentenbond ke znepokojivým výsledkům. Tehdy se jim podařilo ze stovky testovaných chytrých telefonů odemknout 42 pouhými fotografiemi. Jednalo se o mobilní telefony mnoha známých výrobců, jako jsou Samsung, Huawei, Sony a Nokia.
Na otázku, zda se od té doby něco zlepšilo, například Samsung neposkytl jasnou odpověď. Pouze konstatoval, že uživatelé mají možnost odemykat svá zařízení Galaxy pomocí otisku prstu nebo rozpoznání obličeje. Také dodal, že odemykání smartphonu pomocí skenu obličeje patří k nejpohodlnějším možnostem. Pokud ale uživatelé chtějí zajistit svému zařízení nejvyšší možnou úroveň ochrany, doporučil odemykat zařízení pomocí otisku prstu.
To je docela překvapující, protože jinými slovy Samsung vlastně připustil, že ověření totožnosti pomocí skenu obličeje není tak bezpečné jako pomocí otisku prstu. Zda a případně co přesně se od roku 2019 zlepšilo, zůstává nejasné.
Za zabezpečení rozpoznávání obličeje v zařízeních Pixel byl v minulosti kritizován i Google. Technologie se prý mezitím zlepšila.
Biometrické údaje není tak snadné ukrást
I přes nastíněné pochybnosti a metody útoků mohou být koncoví uživatelé klidní. Mobilní telefon sice jde odemknout pomocí fotografie obličeje nebo jinou osobou, ale potenciální útočník by potřeboval fyzický přístup k danému smartphonu.
Navíc naskenované otisky prstů a skeny obličeje není tak úplně jednoduché ukrást. Je to dáno i způsobem jejich ukládání a využívání. Nakonec musíte pracovat s biometrickou šablonou, což je matematická interpretace otisku prstu nebo obličeje.
Šablona je ze své podstaty zašifrovaná a nelze ji jednoduše přečíst ani změnit. I kdyby útočník klíč vlastnil, nebyl by z něj schopen rekonstruovat původní obrázek, například obličej uživatele.
Pozor na stejná hesla: nešvar stále přetrvává
Obecně platí, že biometrické údaje jsou z hlediska bezpečnosti ověřování lepší než jiné metody. Velkou výhodou je, že otisk prstu nebo obličeje máme vždy u sebe. Hesla se zapomínají, zkoušejí, kradou, nebo se používají stejná pro několik služeb najednou.
Mohlo by vás zajímat
Sken obličeje nebo otisk prstu ale není všelék. Jakmile je biometrický faktor jednou kompromitován, nelze jej nahradit. Pochopitelně: otisky prstů nebo rysy obličeje nelze jednoduše změnit.
Obecně jsou ale biometrické údaje jako nástroj pro ověření uživatele poměrně bezpečné. Přinejmenším rozhodně mnohem bezpečnější než slabá hesla. Ta ale uživatelé mají i nadále a upřednostňují pohodlnost ovládání a snadnou zapamatovatelnost před úrovní zabezpečení svých přístupů.
Zdroj: Tagesspiegel, NDDS, NTV, The Verge
video