iPhone 5S jako bezpečnostní hrozba?

Karel Michal , 16. září 2013 11:00 0 komentářů
iPhone 5S jako bezpečnostní hrozba?

Uvedení nových chytrých telefonů iPhone 5c a 5s se zatím nesetkalo s příliš dobrou odezvou trhu, do jaké míry se to ale dalo skutečně čekat? Jak se dalo předpokládat, byznys, tedy zejména držitelé akcií Apple poměrně nelibě nesou sázku společnosti na levnější přístroje, které jsou v daném případě prezentovány telefony iPhone 5C. Proč ale vlastně tak znepokojuje hi-endová 5S? Je Touch ID, které mělo znamenat konec PINu skutečně problém?

iPhone 5S
iPhone 5S
Značka Apple je v očích většiny vnímána jako prémiová a přestože ani jeden z telefonů nelze vnímat jako vyloženě levný, trend, který si Apple zvolil, může leckdo vnímat jako prostě znepokojivý. Pro příklady selhání podobné strategie není třeba chodit příliš daleko, stačí se podívat na devalvaci některých dříve luxusních módních značek, které si v honbě za novými trhy nenávratně poškodily vlastní jméno. A Apple má v tomto případě jakožto výrobce pro koncový segment skutečně blíže k módním značkám, než k IT. Daleko větším problémem se ale nyní jeví dražší model přístroje a to paradoxně kvůli jeho vyššímu zabezpečení.

iPhone 5S terčem kritiky doma i Německu

Hi-endový model telefonu, který exceluje v benchmarkových testech a měl by přeci jenom spíše obrušovat hroty ostnů kritiky, na sebe místo toho poutá jinou nežádoucí pozornost, ta se týká paradoxně jeho bezpečnosti, respektive ochraně osobních údajů. Bude tato jeho bonusová vlastnost nakonec paradoxně předčasným hřebíčkem do rakve?

Asi nejvíce pozornosti na iPhone 5s poutá čtečka otisku prstu, po kritice doma od neziskovky Free Software Foundation se dočkala také nežádoucí pozornosti v Evropě a to zatím od hamburského komisaře pro ochranu osobních údajů Johannese Caspara. Ten vysvětluje své pochybnosti o přístroji pro online verzi deníku Der spinel. "Otisky prstů jsou unikátní, nelze je jednoduše přepsat a zůstávají s námi celý život. Nesouhlasím tedy s tím, aby byly běžnou a navíc nevyhnutelnou formou ověření identity, zejména pokud jsou někde uložené v souboru, kterému se hypoteticky může kdokoli dostat,“ vyznívá z Casparova prohlášení.

Problém je pochopitelně pro Caspara v tom, že v iPhone 5s byla čtečka otisků (Touch ID) integrována přímo v „Home“ tlačítku telefonu a při používání telefonu se jí fakticky nedá dost dobře vyhnout.

Apple se snaží vnikající paniku mírnit tvrzením, že ověření slouží zatím pouze k samotnému odemčení telefonu a pro objednávky přes iTunes. Navíc mají být biometrické klíče bezpečně uloženy v samotném procesoru (64-bitový SoC chip A7), neputují internetem a nejsou zprostředkovávány třetím stranám. Caspar považuje takovéto ujištění za směšné, argumentuje tím, že běžný uživatel nemá dostatečnou možnost si ověřit, co která aplikace v jeho telefonu vlastně všechno provádí a k jakým atům má skutečně přístup. Dále upozorňuje na úniky extrémně citlivých dat z telefonů díky neodhaleným bezpečnostním dírám v operačním systému, zde se nechvalně proslavil zejména konkurenční Android. Nutnost použití čtečky otisků podle Caspara porušuje princip minimalizace expozice citlivých dat, a je jedno, jak moc bude společnost ujišťovat, že jsou tato data v bezpečí. Zatím ale přesto není jasné, jak se Německo k celé věci postaví, sám komisař další postup nekomentoval.

Způsoby biometrického ověřování a proč chování Apple nedává zdánlivě moc smysl

V praxi se využívají dva typy biometrické identifikace – fyziologické prvky, jako je otisk prstů, rozpoznávání tváře či tvar těla a behaviorální, vycházející z unikátních návyků chování. Mezi takovéto návyky patří mimo jiné také hlas, chůze, či frekvence a rytmus úhozů na klávesnici. Tam kde na bezpečném ověření opravdu záleží, se oba přístupy kombinují, aby nemohlo dojít k podvrhu.

Teď jsme narazili na něco opravdu zajímavého, otisky prstů, které patří do první skupiny, jsou zcela jednoznačně poměrně snadno překonatelné (okopírovatlené), za předpokladu, že máme určité technické vybavení. Proč tedy Apple, který již má mezi svými technologiemi Siri, sáhl po technologicky mnohem slabším řešení? Hlasová biometrie je zatím civilními technologiemi prakticky nepřekonatelná, logika postupu Apple je v tomto případě tedy trochu fuzzy.

Smysl zde alespoň není do té doby, než sena věc začneme dívat zrakem nezaujatého uživatele. Pokud by nikdo nerozvířil problém s hypoteticky zbytečným vystavováním osobních dat, bylo by základní zabezpečení přístroje vnímáno jako nadstandardní plus. Zabezpečení skrze PIN totiž lze odposlechnout, sdílet či odpozorovat, navíc jej řada lidí z pohodlnosti raději vůbec nepoužívá. Otisk prstů pro základní odemčení telefonu je tedy z hlediska uživatelské zkušenosti neinvazivní ekvivalentní bezpečnostní prvek navíc.

Touch ID – ani hrozba, ani velká výhoda

Shrnuto a podtrženo je celé Touch ID benefitem pro líné, nepředstavuje ani zásadní hrozbu. Je sice pravděpodobné, že má například NSA tradičně nějaký backdoor pro přístup do telefonu, dokud však neprobíhá ověřování v cloudu, není příliš pravděpodobné, že by mohla operovat na úrovni architektury přístroje. Otisk prstů je sice jedinečný, ale zanecháváme ho prakticky všude a je snadno kopírovatelný. Chytřejší mechanismy pracují také s pulsem a teplotou prstu, což senzor 5S nedělá. Jak dokazují podobné mechanismy na tisících levných podnikových i spotřebitelských noteboocích, lze také tento mechanismus ověřování poměrně snadno prolomit. Opravdu je tedy v hardware telefonu zašifrovaný otisk prstu bez dalších korekčních biometrických dat tak zásadní hrozbou aby stála za pozornost předních stránek světového tisku?


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Soud v Ostravě poslal počítačového hackera na 6,5 roku do vězení

ČTK , 28. duben 2017 10:30

Na 6,5 let poslal dnes Krajský soud v Ostravě do vězení počítačového hackera Lumíra Heriče. Podle ro...

Více 0 komentářů

Digitální transformace a IoT mění české výrobní společnosti

Pavel Houser , 28. duben 2017 09:00

Často více než 10 let staré ERP systémy nebývají s novými technologiemi kompatibilní....

Více 0 komentářů

Jihokorejští výrobci elektroniky Samsung a LG prudce zvýšili zisk

ČTK , 28. duben 2017 07:00

Jihokorejští výrobci elektroniky Samsung Electronics a LG Electronics v letošním prvním čtvrtletí vý...

Více 0 komentářů

Starší zprávičky

O digitální transformaci usiluje více než polovina českých podniků

Pavel Houser , 27. duben 2017 18:39

Spojení IoT a AI: Zařízení internetu věcí generují velké objemy dat, které mají bez rychlého zpracov...

Více 0 komentářů

Twitter snížil čtvrtletní ztrátu na 61,6 milionu dolarů

ČTK , 27. duben 2017 15:30

Čtvrtletní ztráta americké internetové společnosti Twitter se meziročně snížila na 61,6 milionu dola...

Více 0 komentářů

Vláda indického Kašmíru zakázala na měsíc sociální sítě

ČTK , 27. duben 2017 13:00

Vláda indického státu Džammú a Kašmír nařídila nejméně na měsíc blokádu sociálních sítí na kašmírské...

Více 0 komentářů

FlashStation pro analýzu velkých objemů dat

Pavel Houser , 27. duben 2017 11:54

Synology představuje zařízení FlashStation FS2017 Podle dodavatele jde o server NAS typu all-flash ...

Více 0 komentářů