2 марта 2017

Пальцы и глаза на MWC 2017

Безопасность Новости

Мы много говорили про датчики отпечатков пальцев и прочую биометрию — и про ее небезопасность. И не только мы, разумеется.

Похоже, это сработало. По крайней мере, на Мобильном конгрессе — 2017 в Барселоне было много производителей дактилоскопических датчиков, которые теперь относятся к проблеме безопасности совсем по-другому.

Пальцы и глаза: биометрические технологии на MWC 2017

Эволюция датчика отпечатков пальцев

Представитель норвежской компании IDEX, поставляющей датчики отпечатков пальцев в том числе, например, для LG, утверждает, что уже довольно давно ни один производитель смартфонов и планшетов, с которыми компания общается, не пытался реализовать работу с данными от дактилоскопического сенсора вне защищенной среды.

У всех без исключения производителей, с которыми я успел пообщаться на MWC 2017, предусмотрена безопасная от начала и до конца схема работы. «Сырые» данные от дактилоскопического датчика шифруются, потом из них вычленяются характерные линии, которые тоже шифруются и затем отправляются в защищенное хранилище. Все это происходит в так называемом trusted execution environment — безопасной среде, к которой не имеют доступа внешние процессы.

Некоторые производители датчиков, правда, по-прежнему отдают защиту на откуп разработчикам конечных устройств, то есть те могут ее использовать, а могут ею и пренебречь. Но уж как минимум шифрование на этапе от датчика до процессора реализуется в обязательном порядке — раньше самое дырявое место дактилоскопии в смартфонах было именно здесь.

Компания CrucialTec в вопросе защиты пошла еще дальше и добавила к дактилоскопическим сенсорам встроенные в них датчики сердечного ритма. Это защита от попыток подделать отпечаток: ни 3D-слепок, ни распечатка на 3D-принтере, ни отрезанный палец в данном случае не сработают, не говоря уже про распечатку линий на обычном принтере.

MWC 2017: банковская карта с датчиком отпечатка пальца

Дактилоскопический сенсор сверит линии, увидит, что они совпадают, но датчик сердечного ритма не почувствует жизни и не позволит разблокировать смартфон. Это, пожалуй, довольно серьезный шаг в сторону увеличения безопасности идентификации по отпечатку пальца. Возможно, и такой вариант можно обмануть — но это будет уже явно сложнее.

Из необычностей: одна китайская компания анонсировала дактилоскопический сенсор, встроенный непосредственно в стекло экрана смартфона. Правда, с определенными оговорками. Во-первых, в природе на момент беседы с этими ребятами на MWC существовал единственный сэмпл, и он остался в лаборатории в Китае. Так что показывать компании было особо нечего. Во-вторых, они пока еще сами не знают, как пользователь будет понимать, в какую часть дисплея надо ткнуть пальцем. Датчика-то не видно! На самом деле что-то подобное год назад показывала уже упомянутая IDEX, но дальше концепта дело тоже не пошло.

Кстати, в качестве области применения дактилоскопических сенсоров показывали совсем не только смартфоны и планшеты: производители предлагают встраивать их, например, в дверные замки или в автомобильные брелоки-ключи. Сразу несколько компаний предложили гибкие и очень тонкие сканеры, которые вполне можно разместить в кредитке.

MWC 2017: дверной замок с датчиком отпечатка пальца

Реализация при этом различается: та же IDEX предлагает использовать схему без дополнительного питания, а CrucialTec встраивает в карту батарейку и даже простенький дисплей, на котором отображается, прошел пользователь идентификацию или нет. Собственно, датчик отпечатка пальца в кредитке нужен для того, чтобы не мучиться с вводом PIN-кода. К тому же подделать отпечаток все-таки намного сложнее, чем подглядеть PIN-код при вводе.

Еще немного биометрии

Компания Qualcomm, которая более безопасные и более быстрые ультразвуковые датчики отпечатка пальца SenseID показывала на Мобильном же конгрессе еще два года назад, в этот раз решила предложить другой метод аутентификации — по радужной оболочке глаза. Она тоже уникальна для каждого человека, так что вполне может использоваться как ключ для разблокировки смартфона или подтверждения каких-либо операций.

Система новая, встроена она пока только в собственные прототипы Qualcomm, но работает уже удивительно гладко — быстро и безошибочно. Понятно, почему о реализации этой идеи в смартфонах заговорили только сейчас: раньше время включения камеры было куда больше, а мощности процессора обработки изображений — куда ниже.

Кстати, система распознавания радужки в исполнении Qualcomm умеет отличать копию глаза от настоящего глаза: на стенде специально лежит распечатанное на 3D-принтере лицо, и в нем программа глаз не обнаруживает. Насколько я понимаю, защита основана на том, что глаза постоянно двигаются, а у искусственного лица они статичны.

MWC 2017: поддельное лицо на стенде Qualcomm

Что интересно, распознаванию радужки не мешают даже здоровенные черные очки с низкой прозрачностью стекла. К сожалению, Qualcomm не раскрывает, за счет чего удалось этого достичь. Тем не менее распознавание радужки — это намного более безопасная и более надежная технология, чем, например, распознавание лица.

Правда, и недостаток тот же, что и у других биометрических технологий: если злоумышленники все-таки научатся пользоваться скомпрометированными биометрическими данными (а перспектива внедрения биометрии в банкоматах дает для этого серьезный стимул), оперативно заменить лицо, глаза или палец будет несколько затруднительно. В отличие от старого доброго пароля.

Несколько других интересных проектов с MWC 2017

Всяких интересных штук, так или иначе связанных с информационной безопасностью, на MWC в этом году не так уж мало. Та же самая Qualcomm, например, представляла машинное обучение непосредственно на устройстве. То есть процессоры Snapdragon теперь обладают достаточной мощностью, чтобы тренировать нейросети. Робкие попытки были и в прошлом году — тогда компания показывала распознавание сюжетов и вещей, изображенных на картинках, которое постепенно становилось все точнее. Теперь же это превратили в универсальный движок, добавили к этому совместимость со многими популярными фреймворками и предлагают разработчикам.

Это довольно-таки важно, потому что машинное обучение на устройстве позволяет не передавать ваши данные в облако и таким образом обеспечивать приватность там, где сейчас ее нет и в помине. Правда, на данном этапе движок — это всего лишь движок. До конечного применения пока еще далеко.

Ну то есть пока существует одно применение, реализованное силами той же Qualcomm: технология App Protect, позволяющая реализовывать на аппаратно-программном уровне эвристические алгоритмы для поиска вредоносных приложений. Под вредоносными Qualcomm понимает приложения, которые норовят что-то сделать без вашего ведома: получить информацию о контактах или местоположении, тихонько послать SMS и так далее. С помощью App Protect их можно отлавливать и не позволять им лезть куда не надобно. Правда, сама по себе технология — это не готовое решение: она должна быть частью защитного комплекса. Ну а наше приложение Kaspersky Antivirus and Security for Android это и так умеет — на программном уровне.

Вообще, гуляя по выставке, замечаешь положительные изменения по сравнению с предыдущим годом. Сейчас почти на каждом стенде хоть где-нибудь написано слово «secure» («безопасный»), и, даже если за ним толком ничего не стоит, видно, что компании хотя бы начали думать об этом.

Ну а отдельно взятое направление — биометрическая идентификация пользователя, похоже, может в ближайшем будущем избавиться от многих недостатков, которые присущи ей сейчас. Полностью безопасной она, конечно, не станет никогда — нет такого понятия, как полная безопасность. Но какие-то шаги в этом направлении делаются, и это здорово.