iPhone 5S jako bezpečnostní hrozba?

Karel Michal , 16. září 2013 11:00 0 komentářů
iPhone 5S jako bezpečnostní hrozba?

Uvedení nových chytrých telefonů iPhone 5c a 5s se zatím nesetkalo s příliš dobrou odezvou trhu, do jaké míry se to ale dalo skutečně čekat? Jak se dalo předpokládat, byznys, tedy zejména držitelé akcií Apple poměrně nelibě nesou sázku společnosti na levnější přístroje, které jsou v daném případě prezentovány telefony iPhone 5C. Proč ale vlastně tak znepokojuje hi-endová 5S? Je Touch ID, které mělo znamenat konec PINu skutečně problém?

iPhone 5S
iPhone 5S
Značka Apple je v očích většiny vnímána jako prémiová a přestože ani jeden z telefonů nelze vnímat jako vyloženě levný, trend, který si Apple zvolil, může leckdo vnímat jako prostě znepokojivý. Pro příklady selhání podobné strategie není třeba chodit příliš daleko, stačí se podívat na devalvaci některých dříve luxusních módních značek, které si v honbě za novými trhy nenávratně poškodily vlastní jméno. A Apple má v tomto případě jakožto výrobce pro koncový segment skutečně blíže k módním značkám, než k IT. Daleko větším problémem se ale nyní jeví dražší model přístroje a to paradoxně kvůli jeho vyššímu zabezpečení.

iPhone 5S terčem kritiky doma i Německu

Hi-endový model telefonu, který exceluje v benchmarkových testech a měl by přeci jenom spíše obrušovat hroty ostnů kritiky, na sebe místo toho poutá jinou nežádoucí pozornost, ta se týká paradoxně jeho bezpečnosti, respektive ochraně osobních údajů. Bude tato jeho bonusová vlastnost nakonec paradoxně předčasným hřebíčkem do rakve?

Asi nejvíce pozornosti na iPhone 5s poutá čtečka otisku prstu, po kritice doma od neziskovky Free Software Foundation se dočkala také nežádoucí pozornosti v Evropě a to zatím od hamburského komisaře pro ochranu osobních údajů Johannese Caspara. Ten vysvětluje své pochybnosti o přístroji pro online verzi deníku Der spinel. "Otisky prstů jsou unikátní, nelze je jednoduše přepsat a zůstávají s námi celý život. Nesouhlasím tedy s tím, aby byly běžnou a navíc nevyhnutelnou formou ověření identity, zejména pokud jsou někde uložené v souboru, kterému se hypoteticky může kdokoli dostat,“ vyznívá z Casparova prohlášení.

Problém je pochopitelně pro Caspara v tom, že v iPhone 5s byla čtečka otisků (Touch ID) integrována přímo v „Home“ tlačítku telefonu a při používání telefonu se jí fakticky nedá dost dobře vyhnout.

Apple se snaží vnikající paniku mírnit tvrzením, že ověření slouží zatím pouze k samotnému odemčení telefonu a pro objednávky přes iTunes. Navíc mají být biometrické klíče bezpečně uloženy v samotném procesoru (64-bitový SoC chip A7), neputují internetem a nejsou zprostředkovávány třetím stranám. Caspar považuje takovéto ujištění za směšné, argumentuje tím, že běžný uživatel nemá dostatečnou možnost si ověřit, co která aplikace v jeho telefonu vlastně všechno provádí a k jakým atům má skutečně přístup. Dále upozorňuje na úniky extrémně citlivých dat z telefonů díky neodhaleným bezpečnostním dírám v operačním systému, zde se nechvalně proslavil zejména konkurenční Android. Nutnost použití čtečky otisků podle Caspara porušuje princip minimalizace expozice citlivých dat, a je jedno, jak moc bude společnost ujišťovat, že jsou tato data v bezpečí. Zatím ale přesto není jasné, jak se Německo k celé věci postaví, sám komisař další postup nekomentoval.

Způsoby biometrického ověřování a proč chování Apple nedává zdánlivě moc smysl

V praxi se využívají dva typy biometrické identifikace – fyziologické prvky, jako je otisk prstů, rozpoznávání tváře či tvar těla a behaviorální, vycházející z unikátních návyků chování. Mezi takovéto návyky patří mimo jiné také hlas, chůze, či frekvence a rytmus úhozů na klávesnici. Tam kde na bezpečném ověření opravdu záleží, se oba přístupy kombinují, aby nemohlo dojít k podvrhu.

Teď jsme narazili na něco opravdu zajímavého, otisky prstů, které patří do první skupiny, jsou zcela jednoznačně poměrně snadno překonatelné (okopírovatlené), za předpokladu, že máme určité technické vybavení. Proč tedy Apple, který již má mezi svými technologiemi Siri, sáhl po technologicky mnohem slabším řešení? Hlasová biometrie je zatím civilními technologiemi prakticky nepřekonatelná, logika postupu Apple je v tomto případě tedy trochu fuzzy.

Smysl zde alespoň není do té doby, než sena věc začneme dívat zrakem nezaujatého uživatele. Pokud by nikdo nerozvířil problém s hypoteticky zbytečným vystavováním osobních dat, bylo by základní zabezpečení přístroje vnímáno jako nadstandardní plus. Zabezpečení skrze PIN totiž lze odposlechnout, sdílet či odpozorovat, navíc jej řada lidí z pohodlnosti raději vůbec nepoužívá. Otisk prstů pro základní odemčení telefonu je tedy z hlediska uživatelské zkušenosti neinvazivní ekvivalentní bezpečnostní prvek navíc.

Touch ID – ani hrozba, ani velká výhoda

Shrnuto a podtrženo je celé Touch ID benefitem pro líné, nepředstavuje ani zásadní hrozbu. Je sice pravděpodobné, že má například NSA tradičně nějaký backdoor pro přístup do telefonu, dokud však neprobíhá ověřování v cloudu, není příliš pravděpodobné, že by mohla operovat na úrovni architektury přístroje. Otisk prstů je sice jedinečný, ale zanecháváme ho prakticky všude a je snadno kopírovatelný. Chytřejší mechanismy pracují také s pulsem a teplotou prstu, což senzor 5S nedělá. Jak dokazují podobné mechanismy na tisících levných podnikových i spotřebitelských noteboocích, lze také tento mechanismus ověřování poměrně snadno prolomit. Opravdu je tedy v hardware telefonu zašifrovaný otisk prstu bez dalších korekčních biometrických dat tak zásadní hrozbou aby stála za pozornost předních stránek světového tisku?


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

ČSÚ: Volební weby byly nedostupné kvůli útoku DDoS

Pavel Houser , 22. říjen 2017 17:43

Výpadky prezentačních server vznikly na straně externího dodavatele komunikačních služeb. ...

Více 0 komentářů

Úřad pro ochranu osobních údajů vyšetřuje e-shop Mall.cz kvůli úniku hesel

ČTK , 22. říjen 2017 08:00

Obchodu Mall.cz odcizili hackeři údaje až ke 750 000 starších uživatelských účtů....

Více 0 komentářů

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Starší zprávičky

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů