Biometryczna ślepa uliczka. Łatwiej wykraść z Galaxy S5 odcisk palca, niż zmienić później linie papilarne
Producenci sprzętu nie do końca zrozumieli, o co chodzi wbiometrii. Niemal wszyscy uznali, że odczyt biologicznych własnościużytkownika należy traktować jako hasło, a nie tak jak to byćpowinno, jako login. Naruszone hasło zmienić jednak łatwo – ajak zmienić linie papilarne czy wzór tęczówki? Nad tym w przyszłościbędą mogli zastanawiać się właściciele Samsungów Galaxy S5, z którychnapastnikom łatwo wykraść cyfrową wersję odcisku palca. Przed takimprzynajmniej scenariuszem ostrzegają badacze z firmy FireEye, którzypodczas konferencji RSA przygotowali demonstację pokazującą, jakłatwo dostać się do czytnika linii papilarnych w byłym flagowcu Samsunga.
Czytnik linii papilarnych służyć ma użytkownikom zarówno dologowania do systemu jak i uwierzytelniania niektórych operacji, np.płatności elektronicznych. Nic więc dziwnego, że cyfrowy wzorzec, zktórym porównywane są dane ze skanowania linii papilarnychprzechowywany jest w bezpiecznym świecie– domenieTrustZone procesora Exynos. To oddzielne środowisko uruchomieniowe,do którego nie ma dostępu oprogramowanie działające na telefonie wnormalnym świecie, nawet sam system operacyjny. Działa ono wwydzielonym obszarze pamięci, do którego dostęp regulowany jest napoziomie sprzętowym.
Po przyłożeniu palca do czytnika, działający w TrustZone koduzyskuje dostęp do sensora, porównuje uzyskany skan z zapisanymwzorcem, a następnie informuje system, czy porównanie wykazałozgodność. Na poziomie Androida żaden proces dostępu do czytnika niema… albo przynajmniej nie powinien mieć. Według Yulonga Zhangai Tao Wei w Samsungu Galaxy S5, a prawdopodobnie też i w innychsmartfonach z czytnikami linii papilarnych, obejść to zabezpieczeniemożna na kilka sposobów.
Przede wszystkim w wielu systemów zabezpieczeń myli sięautoryzację z autentykacją (czyliw polskiej terminologii informatycznej uwierzytelnianiem). Pierwszyproces ma zapewnić dostęp do zasobów, drugi potwierdzić tożsamośćużytkownika, tymczasem używa się ich wymiennie, co pozwalanapastnikom stworzyć np. fałszywy ekran blokady z napisem przyłóżpalec do czytnika by odblokować telefon,który w rzeczywistości służy do uwierzytelnienia przelewu pieniędzy.Można też zastosować atak z wykorzystaniem wstępnie osadzonychw systemie odcisków palców, kod działający w TrustZone nic bowiem niewie o ich liczbie w systemie, jedynie skanuje i porównuje dane napotrzeby normalnego świata. Jeśli napastnikowi uda się wgrać tam swójwłasny wzorzec odcisku, będzie mógł odblokowywać urządzenie czypotwierdzać przelewy.
Ciekawe są też błędy w samej implementacji TrustZone,zademonstrowane rok temu na konferencjach BlackHat USA i RECONCanada, pozwalające na uruchomienie dowolnego kodu w bezpiecznymświecie. TrustZone nie potrafi bowiem upewnić się, czy na pewnorozmawia z oryginalnym jądrem, czy też z napastnikiem mającymuprawnienia kernela. Największe zagrożenie stworzyli jednak samiproducenci sprzętu. Okazuje się bowiem, że na niektórych urządzeniach(w tym wspomnianym Galaxy S5), czytnik linii papilarnych wcale niejest odizolowany od systemu, działające w normalnym świecie złośliweoprogramowanie też może do niego uzyskać dostęp.
Wówczas to, nawet mimo tego, że napastnik nie może uzyskać dostępudo danych z bezpiecznego świata, to może odczytać odcisk ofiarybezpośrednio, za każdym razem gdy przykłada palec do czytnika.Przejęte dane mogą zostać następnie wykorzystane do uwierzytelnieniatransakcji, co badacze chcą zademonstrować, przeprowadzająctransakcję w „chronionej” biometrycznym czytnikiemaplikacji PayPala.
Samsung póki co nie skomentował szerzej odkryć chińskichekspertów, wydał jedynie krótki komunikat, że traktuje kwestieprywatności użytkowników bardzo poważnie i prowadzi własnedochodzenie w kwestii ich odkryć. Trudno w to wątpić, ale beztroska,z jaką przedstawiano w materiałach marketingowych firmy biometrięjako panaceum na bezpieczeństwo świadczy jedynie o tym, że zbyt wielenad kwestią tą do tej pory nie rozmyślano.