biometrika v mobilu, ne až tak šťastné řešení

Zpravodajství Mobilní zařízení biometrika v mobilu, ne až tak šťastné řešení

Už po několik let laškují obě hlavní značky vyvíjející OS pro chytré mobilní telefony, Apple a Google (a v poslední době také i Microsoft s jejich plánovanou Lumií 940/50), s představou další jednoduché bezpečnostní vrstvy pro jejich zařízení, která by mohla svou jednoduchostí pro uživatele ale neprolomitelností pro neoprávněné uživatele :) nahradit staré známé jak už znakové tak numerické heslo. Řeč je samozřejmě o biometrice, která sice není uplně nejnovějším udělátkem ale dostat ji na mobilní telefony to prostě chvilku trvalo. A když už je tedy budeme mít ve svém dalším mazlíku, musí se provádět nezávislé testy, které prověřují funkčnost a celkové zabezpečení. Touto činností byla pověřena firma FireEye a výsledky s kterými přišla, jsou, dalo by se říci až alarmující.

ok not ok

Doporučené ukládání snímků prstu (1), ukládání do nechráněného úložiště (2)

Zatímco testy pro Apple dopadly v pořádku, testování u několika výrobců mobilních telefonů s OS Android výsledky nedopadly vůbec dobře. Nejhůře na tom byly zařízení HTC a Samsung, kteří jakékoliv doporučené bezpečné koncepty obešlo vlastním řešením a to, že naskenované snímky prstů ukládala do „veřejné“ paměti telefonu (/data/dbgraw.bmp) a co hůř s umožněnou čitelností ostatních programů, tzn. že si jakýkoliv program bez žádného oprávnění mohl tento otisk zkopírovat a nakládat s ním po svém, přičemž pro tento problém je v každém mobilu vybaveném ARMovým chipem vydedikovaný prostor označovaný jako Trust Zone Technology, který je zhruba na stejné úrovni jako samotný kernel mobilu a má k němu přístup pouze jedna „služba/aplikace“, která také zároveň má přístup k samotnému snímacímu zařízení.

Zdroje obrázků použitých v článku:
miniatura: forums.oneplus.net
(1) a (2): extremetech.com


 

  Aktivity (1)

Zprávu pro vás napsal Gabriel Mastný 12.8.2015 22:27
Avatar

Miniatura
Všechny články v sekci
Zprávy ze světa mobilních zařízení

 

 

Komentáře

Avatar
Jakub Lásko[Saarix]:

No měli by to nejprve pořádně promakat :-) Aby se pak nestalo že ti někdo hackne phone a podstrčí tam jiný otisk a mobyl máš zablokovanej...

Ono na pořádném heslu není nic špatného ;)

Odpovědět  +2 13.8.2015 6:35
Časem je vše možné.
Avatar
Richard
Člen
Avatar
Odpovídá na Jakub Lásko[Saarix]
Richard:

V tom ale není vůbec ten problém.
Nevím jak je to u Androidů, ale minimálně u iOS pokud nesouhlasí otisk, nabídne to přístup heslem.
Problém je v tom, že lze bez problému získat údaje o otisku, což je hodně velkej průser.

Odpovědět  +3 13.8.2015 7:07
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Jenkings
Redaktor
Avatar
Jenkings:

Zásadní nevýhoda autorizace otiskem prstu je ta, že pokud se vašeho otisku někdo zmocní (což není problém, už se objevily i případy kdy dokázali zrestaurovat otisk prstu jen podle obyčejné fotky z cca 5 metrů), tak si ho už nemůžete nikdy změnit (logicky). Tzn. že jak jednou někdo váš otisk získá, dostane se ke všemu co "zabezpečíte" svým otiskem, a je úplně jedno jestli teď, nebo za 10 let.

Odpovědět 17.8.2015 11:47
Největší časovou náročnost má výpočet časové náročnosti..
Avatar
kuxik009
Redaktor
Avatar
Odpovídá na Jenkings
kuxik009:

Tak teoreticky bys měl 10 různých variant, které bys mohl střídat, ne? Pokud si dobře pamatuju, a každej prst má unikátní otisk :-)
To by taky bylo dobré zabezpečení, kdybyste si při nastavování naskenovali všech 10 prstů, a mobil by při odemykání náhodně zvolil jeden, kterej musíte použít. Takže kdyby někdo získal otisk třeba z prostředníčku, měl by šanci 1/10 na odemčení.

 
Odpovědět 20.8.2015 12:31
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 4 zpráv z 4.