Zašto ne biste trebali koristiti otisak prsta za otključavanje telefona?

Nekoć hvaljen kao idealna sigurnosna metoda, Touch ID – tehnologija otključavanja otiskom prsta – otkriva mnoga ozbiljna ograničenja u pogledu informacijske sigurnosti.

Značajka otključavanja telefona otiskom prsta (Touch ID) odavno je popularna zahvaljujući svojoj praktičnosti i velikoj brzini obrade. Mnogi ljudi vjeruju da, budući da su otisci prstiju jedinstvene biometrijske karakteristike svakog pojedinca, oni su “ključ” apsolutne sigurnosti. Međutim, stručnjaci za kibernetičku sigurnost upozoravaju da bi ovo uvjerenje moglo biti lažno. AVG je istaknuo dva ključna razloga zašto bi korisnici trebali preispitati sigurnost tehnologije prepoznavanja otiska prsta kada se koristi za zaštitu osobnih uređaja.

Otisci prstiju mogu se hakirati

Za razliku od tradicionalnih lozinki koje postoje samo u korisnikovoj memoriji, otisci prstiju – oblik biometrije – sveprisutni su u svakodnevnom životu: na kvakama, čašama za piće, stolovima, pa čak i na zaslonima telefona osjetljivih na dodir. Drugim riječima, ova naizgled neprobojna “lozinka” zapravo se može lako prikupiti iz okolnog okruženja.

Rekonstrukcija otisaka prstiju iz ostavljenih tragova više nije hipoteza. Zapravo, to su dokazali sigurnosni stručnjaci prije mnogo godina. Godine 2008. računalni klub Chaos izazvao je pomutnju kada je uspješno rekonstruirao otisak prsta osobe sa samo jedne fotografije. Do 2013. godine izgradili su gumeni protetski prst kako bi zaobišli senzor i otključali uređaj. U posljednje vrijeme slični trikovi mogu se izvoditi čak i s jednostavnim materijalima kao što su prašak za oblikovanje ili ljepilo, što pokazuje da stvaranje fizičkih klonova otisaka prstiju postaje sve lakše.

Ne zaustavljajući se na tome, otisci prstiju mogu se ukrasti i u digitalnom okruženju. Na sigurnosnoj konferenciji Black Hat 2015. stručnjaci za kibernetičku sigurnost demonstrirali su niz metoda napada na sustave za provjeru autentičnosti otiska prsta. Oni stvaraju aplikacije koje lažiraju zaslone za otključavanje kako bi zavarali korisnike, dok automatski odobravaju financijske transakcije. Oni također iskorištavaju podatkovne datoteke koje pohranjuju otiske prstiju na uređaju kako bi reproducirali izvornu fotografiju otiska prsta ili izravno napadaju senzor kako bi izdvojili podatke svaki put kada korisnik stupi u interakciju. U 2020. sigurnosna ranjivost u Apple Touch ID-u iskorištena je za napad na iCloud račune korisnika. Nakon ovog incidenta, Apple je morao brzo objaviti sigurnosnu zakrpu.

Korisnici ne mogu promijeniti otisak prsta nakon što je izložen

Za razliku od lozinki, koje se mogu lako promijeniti nakon otkrivanja, otisci prstiju su fiksna biometrijska značajka i ne mogu se zamijeniti. Nakon krađe, te podatke mogu koristiti loši akteri u bilo kojem trenutku, bilo gdje gdje postoji sustav provjere autentičnosti otiska prsta. Što je još opasnije, podaci o otiscima prstiju mogu se prodavati ili razmjenjivati na crnom tržištu, ostavljajući korisnike izloženima riziku od dugoročne nesigurnosti podataka i teško ih je kontrolirati. Ova zabrinutost postala je još akutnija jer sve više organizacija, od vladinih agencija do banaka i aplikacija za plaćanje, koristi otiske prstiju kao alate za provjeru identiteta.

Iako mnogi ljudi smatraju otključavanje telefona otiskom prsta prikladnim sigurnosnim rješenjem i vjeruju da će jedinstvenost otiska prsta pružiti apsolutnu sigurnost, stručnjaci za informacijsku sigurnost ne slažu se s ovim gledištem. Upozoravaju da otključavanje otiskom prsta nije sveobuhvatna sigurnost i da inherentne ranjivosti još uvijek postoje.

Iako su podaci o otisku prsta obično pohranjeni u specijaliziranom sigurnosnom modulu na telefonu, dizajniranom da bude dostupan samo vlasniku, i dalje može biti meta napadača. U jednostavnijoj situaciji, ako vaš telefon ostane na stolu dok spavate ili niste primijećeni, lopovi i dalje mogu lako koristiti vaš prst (ako senzor još uvijek radi) za otključavanje uređaja bez lozinke. Očito je da je u takvim slučajevima još uvijek puno sigurnije tražiti digitalnu lozinku ili znak nego metodu zaštite otiskom prsta.