Najnowszy model telefonu Apple wyposażono, podobnie jak iPhone’a 5s, w czytnik linii papilarnych. Tym razem jednak biometria ma poważniejsze zadania - powinna strzec dostępu do aplikacji pozwalającej płacić smartfonem w sklepach. Nie minął miesiąc od premiery urządzenia i już wiadomo jak można obejść to zabezpieczenie.
Touch ID – tak nazywa się technologia zaszyta w urządzeniach firmy Apple. Skaner linii papilarnych w dolnej części telefonu ma zastępować hasło. Wystarczy przyłożyć palec i można odblokować telefon.
Biometrię wykorzystano już w poprzednim modelu firmy z Cupertino i stosunkowo szybko okazało się, że zabezpieczenie można oszukać. Wystarczy trochę kleju i odcisk palca uprawnionego użytkownika. W ten sposób powstaje kopia – ślad linii papilarnych odciśnięty na warstwie tworzywa. Wystarczy nałożyć taki „kapturek” na palec i można zalogować się zamiast prawowitego użytkownika.
Linie papilarne to za mało
Marc Rogers, analityk bezpieczeństwa w firmie Lookout , postanowił sprawdzić, czy w nowej wersji sztandarowego produktu Apple poprawiono działanie zabezpieczeń. Jak widać na poniższym filmie, iPhone 6 poddaje się równie szybko co jego poprzednik. Jednak warstwa kleju stanowiącego odlew odcisku palca musi być dość gruba, tak aby dało się oszukać czytnik.
Słabość zabezpieczeń biometrycznych w nowym iPhonie kładzie się cieniem na bezpieczeństwo usługi Apple Pay, która zaprezentowano wraz z urządzeniami. Przypomnijmy, że iPhone 6 wyposażony jest w moduł NFC, który pozwala płacić zbliżeniowo w sklepach. Żeby odblokować mobilny portfel konieczne będzie użycie odcisku palca – to podstawowe zabezpieczenie aplikacji.
Specjaliści ds. bezpieczeństwa płatności uspokajają, że biometria to tylko jedna z warstw zabezpieczeń. Agenci rozliczeniowi monitorują transakcje i wyłapują nietypowe, np. duże kwotowo, transakcje. Zdaniem Rogersa jednak lepszym wyjściem byłoby umożliwienie użytkownikom zdefiniowania własnych sposobów potwierdzania otwarcia mobilnego portfela (np. PIN). Działające w Polsce rozwiązania (np. NFC Pass Orange i T-Mobile MyWallet) korzystają właśnie z takiego podejścia – płatność można zabezpieczyć hasłem.
Michał Kisiel
