حس‌گرهای اثر انگشت عامل افزایش امنیت یا کاهش امنیت؟!

امروزه طیف گسترده‌ای از پرچم‌داران دنیای اسمارت‌فون‌ها به مکانیزم اسکن اثر انگشت تجهیز شده‌اند. سازندگان ادعا می‌کنند حس‌گرهای بیومتریک نه تنها تجربه کاربری بلکه امنیت بیشتر را برای کاربران به ارمغان می‌آورند. اما آیا این گفته صحیح است؟ دقیقا خیر. برای شروع باید بگوییم این حس‌گرها عاری از ضعف نیستند. اسکنرهای خازنی قدیمی به سختی می‌توانستند، یک اثرانگشت نمناک را شناسایی کنند، همین موضوع باعث می‌شد در اغلب موارد اولین تلاش کاربر با شکست همراه شود.

در نتیجه اگر دست شما در تابستان یا در طول تمرینات ورزشی عرق می‌کرد، اسمارت‌فون شما با مشکلات عدیده‌ای روبرو می‌شد. به صورتی که دیگر هویت شما را به رسمیت نمی‌شناخت. زخم‌ها و انواع مختلفی از بیماری‌های پوستی باعث می‌شدند تا کیفیت شناسایی به میزان محسوسی کاهش پیدا کند. با این حال، بیشتر حس‌گرها این توانایی را ندارند تا به معنای واقعی کلمه آن‌گونه که باید یک اثرانگشت را شناسایی کنند. همین موضوع باعث می‌شود این حس‌گرها یک شکاف بزرگ امنیتی را در دل خود جای دهند. البته بعضی از این مشکلات اکنون مرتفع شده‌اند.

مطلب پیشنهادی

تقابل سیستم‌های سنتی و مدرن

رمزعبور امن‌تر است یا اثر انگشت؟

به‌طور مثال، از زمانی که کوال‌کام حس‌گر مافوق صوت خود را عرضه کرد، فناوری که از یک مبدل فراصوت برای اسکن سه بعدی اثر انگشت استفاده می‌کند، این چنین مشکلاتی تا حدود زیادی برطرف شدند. راه‌کاری که امکان فریب دادن آن امکان‌پذیر نیست. در کنار حس‌گر جدید فراصوت که حتی در زمان کثیف بودن انگشت یا نمناک بودن آن به خوبی عمل می‌کند، اما باز هم تهدیدات دیگری وجود دارند. فناوری‌های جدید همیشه آسیب‌پذیر هستند، به دلیل این که آن‌ها جدید بوده و معایب آن‌ها هنوز شناسایی نشده است. همین موضوع باعث می‌شود ما نتوانیم به عنوان یک راه‌کار امنیتی از این نوآوری‌های جدید استفاده کنیم. حتی اگر تصمیم داشته باشیم که از آن‌ها برای مقابله با تهدیدات امنیتی استفاده کنیم، قطعا اولین نسخه عرضه شده از آن‌ها راه‌گشا نخواهند بود. در آگوست 2015 میلادی، هکرها موفق شدند با استفاده از یک راه‌کار جدید، اثرانگشت کاربران را به سرقت ببرند. راه‌کاری که به هکرها اجازه می‌داد از راه دور و در مقیاس وسیع به سرقت اثرانگشت بپردازند.

کارشناسان امنیتی کشف کردند اسمارت‌فون‌های HTC One Max و سامسونگ گلکسی اس 5 اثر انگشت کاربران را بدون هیچ‌گونه رمزنگاری ذخیره می‌کنند. همین موضوع باعث می‌شود تا این اثرانگشت‌ها در قالب فرمت فایلی bmp توسط هر برنامه‌ای قابل خواندن باشند. هر نرم‌افزاری که به تصاویر کاربر و اینترنت دسترسی داشته باشد، توانایی سرقت این داده‌ها را دارد. طراحان خیلی زود وصله مربوطه را عرضه کردند، اما چه کسی می‌تواند تضمین دهد که اشتباهات این چنینی همراه با یک اسمارت‌فون جدید یا یک سیستم‌عامل جدید دیگر رخ نمی‌دهد؟ تعدادی از سازندگان اسمارت‌فون‌ها (به‌طور مثال هوآوی) از فناوری ARM TrustZone برای محافظت از داده‌هایی که روی دستگاه‌های آن‌ها قرار دارد استفاده می‌کنند. این مکانیزم اثرانگشت را در یک محیط مجازی مورد بررسی قرار می‌دهد. محیطی که حتی سیستم‌عامل هم به آن دسترسی ندارد. به کارگیری این مکانیزم باعث می‌شود، مواردی همچون افشای داده‌های حساس ( اثرانگشت) یا دسترسی برنامه‌های ثالث به این داده‌ها امکان‌پذیر نباشد. اما متأسفانه اگر این مکانیزم به درستی پیاده‌سازی نشود، خود رخنه‌های جدیدی را به وجود خواهد آورد.

زمانی که اعلام می‌شود اثرانگشت یک گذرواژه نیست و مالکان نباید آن‌ها را به اشتراک قرار دهند، اما باز هم مشاهده می‌کنیم که در اثر سهل‌انگاری این اتفاق به آسانی رخ می‌دهد. در سال جاری، محققان نشان دادند سرقت اثرانگشت به سادگی هرچه تمام‌تر به سرقت می‌رود. بدون آن‌که هکر یا قربانی یکدیگر را ملاقات کرده باشند. جالب آن‌که در بیشتر موارد اثرانگشت با بالاترین کیفیت ممکن به سرقت می‌رود. یک دوربین SLR با یک لنز زوم قدرتمند یا حتی یک تصویر چاپ شده در یک مجله با کیفیت بالا از جمله این موارد به شمار می‌رود. همین روش برای جعل تصویر عنبیه چشم نیز می‌تواند مورد استفاده قرار گیرد. در نقطه مقابل زمانی که گذرواژه شما لو می‌رود، شما در عرض چند دقیقه این توانایی را دارید تا آن‌را تعویض کنید. اما شما باید تمام طول زندگی خود را با اثرانگشتان سر کنید. اگر این اثرانگشت به سرقت برود تکلیف چیست؟ به همین دلیل است که همواره گفته می‌شود به تبلیغات بازاریابی که از سوی فروشندگان محبوب منتشر می‌شود اعتماد نکنید. اگر اسمارت‌فونی در اختیار دارید که مجهز به یک حسگر اثرانگشت از پیش ساخته شده است، به شما توصیه می‌کنیم سه دستورالعمل ساده زیر را انجام دهید.

شماره یک، بر خلاف آن‌چه سازندگان اسمارت‌فون‌ها اعلام می‌دارند، از مکانیزم اثر انگشت برای پرداخت‌های پی‌پل و دیگر سرویس‌های مالی استفاده نکنید. شماره دو، در بعضی موارد مردم از مکانیزم بیومتریک برای ورود به دستگاه خود استفاده می‌کنند، اگر اثرانگشت شما به سرقت برود، دیگر هیچ کاری نمی‌توانید انجام دهید، در نتیجه بهتر است محتاط باشید. شماره سه، یک مکانیزم اثرانگشت به اندازه کافی قدرتمند نیست که از داده‌های شما محافظت به عمل آورد. اگر در مورد داده‌های خود حساس و نگران هستید از برنامه‌های ویژه‌ای که مخصوص این‌کار هستند، استفاده کنید.

==============================

شاید به این مقالات هم علاقمند باشید: