iPhone 5S jako bezpečnostní hrozba?

Karel Michal , 16. září 2013 11:00 0 komentářů
iPhone 5S jako bezpečnostní hrozba?

Uvedení nových chytrých telefonů iPhone 5c a 5s se zatím nesetkalo s příliš dobrou odezvou trhu, do jaké míry se to ale dalo skutečně čekat? Jak se dalo předpokládat, byznys, tedy zejména držitelé akcií Apple poměrně nelibě nesou sázku společnosti na levnější přístroje, které jsou v daném případě prezentovány telefony iPhone 5C. Proč ale vlastně tak znepokojuje hi-endová 5S? Je Touch ID, které mělo znamenat konec PINu skutečně problém?

iPhone 5S
iPhone 5S
Značka Apple je v očích většiny vnímána jako prémiová a přestože ani jeden z telefonů nelze vnímat jako vyloženě levný, trend, který si Apple zvolil, může leckdo vnímat jako prostě znepokojivý. Pro příklady selhání podobné strategie není třeba chodit příliš daleko, stačí se podívat na devalvaci některých dříve luxusních módních značek, které si v honbě za novými trhy nenávratně poškodily vlastní jméno. A Apple má v tomto případě jakožto výrobce pro koncový segment skutečně blíže k módním značkám, než k IT. Daleko větším problémem se ale nyní jeví dražší model přístroje a to paradoxně kvůli jeho vyššímu zabezpečení.

iPhone 5S terčem kritiky doma i Německu

Hi-endový model telefonu, který exceluje v benchmarkových testech a měl by přeci jenom spíše obrušovat hroty ostnů kritiky, na sebe místo toho poutá jinou nežádoucí pozornost, ta se týká paradoxně jeho bezpečnosti, respektive ochraně osobních údajů. Bude tato jeho bonusová vlastnost nakonec paradoxně předčasným hřebíčkem do rakve?

Asi nejvíce pozornosti na iPhone 5s poutá čtečka otisku prstu, po kritice doma od neziskovky Free Software Foundation se dočkala také nežádoucí pozornosti v Evropě a to zatím od hamburského komisaře pro ochranu osobních údajů Johannese Caspara. Ten vysvětluje své pochybnosti o přístroji pro online verzi deníku Der spinel. "Otisky prstů jsou unikátní, nelze je jednoduše přepsat a zůstávají s námi celý život. Nesouhlasím tedy s tím, aby byly běžnou a navíc nevyhnutelnou formou ověření identity, zejména pokud jsou někde uložené v souboru, kterému se hypoteticky může kdokoli dostat,“ vyznívá z Casparova prohlášení.

Problém je pochopitelně pro Caspara v tom, že v iPhone 5s byla čtečka otisků (Touch ID) integrována přímo v „Home“ tlačítku telefonu a při používání telefonu se jí fakticky nedá dost dobře vyhnout.

Apple se snaží vnikající paniku mírnit tvrzením, že ověření slouží zatím pouze k samotnému odemčení telefonu a pro objednávky přes iTunes. Navíc mají být biometrické klíče bezpečně uloženy v samotném procesoru (64-bitový SoC chip A7), neputují internetem a nejsou zprostředkovávány třetím stranám. Caspar považuje takovéto ujištění za směšné, argumentuje tím, že běžný uživatel nemá dostatečnou možnost si ověřit, co která aplikace v jeho telefonu vlastně všechno provádí a k jakým atům má skutečně přístup. Dále upozorňuje na úniky extrémně citlivých dat z telefonů díky neodhaleným bezpečnostním dírám v operačním systému, zde se nechvalně proslavil zejména konkurenční Android. Nutnost použití čtečky otisků podle Caspara porušuje princip minimalizace expozice citlivých dat, a je jedno, jak moc bude společnost ujišťovat, že jsou tato data v bezpečí. Zatím ale přesto není jasné, jak se Německo k celé věci postaví, sám komisař další postup nekomentoval.

Způsoby biometrického ověřování a proč chování Apple nedává zdánlivě moc smysl

V praxi se využívají dva typy biometrické identifikace – fyziologické prvky, jako je otisk prstů, rozpoznávání tváře či tvar těla a behaviorální, vycházející z unikátních návyků chování. Mezi takovéto návyky patří mimo jiné také hlas, chůze, či frekvence a rytmus úhozů na klávesnici. Tam kde na bezpečném ověření opravdu záleží, se oba přístupy kombinují, aby nemohlo dojít k podvrhu.

Teď jsme narazili na něco opravdu zajímavého, otisky prstů, které patří do první skupiny, jsou zcela jednoznačně poměrně snadno překonatelné (okopírovatlené), za předpokladu, že máme určité technické vybavení. Proč tedy Apple, který již má mezi svými technologiemi Siri, sáhl po technologicky mnohem slabším řešení? Hlasová biometrie je zatím civilními technologiemi prakticky nepřekonatelná, logika postupu Apple je v tomto případě tedy trochu fuzzy.

Smysl zde alespoň není do té doby, než sena věc začneme dívat zrakem nezaujatého uživatele. Pokud by nikdo nerozvířil problém s hypoteticky zbytečným vystavováním osobních dat, bylo by základní zabezpečení přístroje vnímáno jako nadstandardní plus. Zabezpečení skrze PIN totiž lze odposlechnout, sdílet či odpozorovat, navíc jej řada lidí z pohodlnosti raději vůbec nepoužívá. Otisk prstů pro základní odemčení telefonu je tedy z hlediska uživatelské zkušenosti neinvazivní ekvivalentní bezpečnostní prvek navíc.

Touch ID – ani hrozba, ani velká výhoda

Shrnuto a podtrženo je celé Touch ID benefitem pro líné, nepředstavuje ani zásadní hrozbu. Je sice pravděpodobné, že má například NSA tradičně nějaký backdoor pro přístup do telefonu, dokud však neprobíhá ověřování v cloudu, není příliš pravděpodobné, že by mohla operovat na úrovni architektury přístroje. Otisk prstů je sice jedinečný, ale zanecháváme ho prakticky všude a je snadno kopírovatelný. Chytřejší mechanismy pracují také s pulsem a teplotou prstu, což senzor 5S nedělá. Jak dokazují podobné mechanismy na tisících levných podnikových i spotřebitelských noteboocích, lze také tento mechanismus ověřování poměrně snadno prolomit. Opravdu je tedy v hardware telefonu zašifrovaný otisk prstu bez dalších korekčních biometrických dat tak zásadní hrozbou aby stála za pozornost předních stránek světového tisku?


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Starší zprávičky

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů

Rozšířená realita bude za pár let běžnou záležitostí

ČTK , 17. srpen 2017 12:58

Za pět, šest let bude běžné, že si turisté při návštěvě zahraničních metropolí nasadí speciální brýl...

Více 0 komentářů

Podíl internetových kurzových sázek v ČR loni vzrostl na 88 %

ČTK , 17. srpen 2017 10:00

Velký podíl na internetových sázkách tvoří live sázky, které lze uzavírat opakovaně v průběhu zápasu...

Více 0 komentářů