انجمن تخصصی ایران سرور

نسخه‌ی کامل: داستان Galaxy S5: خبرسازی یا واقعیت ؟
شما در حال مشاهده نسخه آرشیو هستید. برای مشاهده نسخه کامل کلیک کنید.
شاهدي ديگري براي ضعيف بودن بيومتريك
ماهنامه شبکه - ارديبهشت 1393 شماره 156
[عکس: 1008692.jpg]
» نويسنده: دن گودين » منبع: آرس‌تكنيكا

حسگر اثرانگشت گوشي گلكسي 5 سامسونگ توسط هكرهاي كلاه سفيد هك شد، به‌طوري كه امكان دسترسي بدون محدوديت به حساب‌هاي كاربري پي‌پال را فراهم مي‌كند. اين گوشي كه توسط هكرهاي كلاه سفيد آزمايشگاه تحقيقات امنيتي آلمان (Germany's Security Research Labs) هك شده است، آخرين نمونه از نمايش وجود اشكال و ضعف‌هاي امنيتي در سيستم‌هاي بيومتريك مانند اثرانگشت، اسكن عنبيه چشم و خصوصيات ديگر فيزيكي مرتبط با انسان به شمار می‌رود كه براي احرازهويت در سيستم‌هاي كامپيوتري استفاده مي‌شوند. در حالي كه طرفداران سيستم‌هاي بيومتريك در حال ترويج و جايگزيني آن با رمزعبور هستند، اطلاعات روي اين سيستم‌ها به‌راحتي و در هر زمان مي‌تواند درون يك كافي‌شاپ، رستوران، اتوبوس و مكان‌هاي عمومي ديگر به سرقت برود و مورد سوءاستفاده قرار گيرد. در جديدترين نمونه اين اتفاقات قبل از هك گوشي گلكسي 5، هفت ماه پيش هكرهاي كلاه‌ سفيد توانستند سيستم اثرانگشت Touch ID روي گوشي آي‌فون اپل را هك كنند؛ آن هم فقط 48 ساعت بعد از عرضه رسمي اين گوشي در بازار امريكا و اروپا.
بن چلبس، يكي از محققان آزمايشگاه SRL، مي‌گويد: «ما انتظار داريم كه بتوان با جعل اثرانگشت سيستم امنيتي گوشي جديد سامسونگ را دور زد اما حداقل فايده اين سيستم به چالش كشيدن مجرمان است. سيستم اثرانگشت S5 چيز جديدي ندارد زیرا روي سيستم‌عامل آندروئيد پياده‌سازي شده است و ما قبلاً انواع سيستم‌هاي اثرانگشت آندروئيدي را در بازار بررسي كرديم.» چلبس از زبان يكي از هكرهاي كلاوه سفيد آزمايشگاه SRL به نام مونيكر دكستر مي‌گويد سيستم اثرانگشت S5 سامسونگ عملاً يك عقب‌گرد به شمار می‌رود زیرا نسبت به سيستم اثرانگشت آي‌فون ضعيف‌تر است و هيچ مكانيزم رمزعبوري براي مواجهه با حجم زياد اثرانگشت نامعتبر ندارد. در آي‌فون بايد بعد از شناسايي اثرانگشت يك رمزعبور هم وارد كنيد اما در S5 چنين مكانيزمي وجود ندارد. همچنين هنگامي كه به دفعات و با تعداد زيادي انگشت به بخش اثرانگشت گوشي گلكسي S5 بزنيد قفل خواهد كرد. اما نگران نباشيد زیرا با ري‌استارت كردن گوشي دوباره مي‌توانيد تعداد زيادي اثرانگشت را آزمايش كنيد بدون اين‌كه هيچ رمزعبوري از شما براي كار دوباره با گوشي خواسته شود.
موضوع نگران‌كننده‌تر درباره سيستم اثرانگشت S5 اين است كه اين سيستم به‌طور مستقيم با سيستم‌هاي تراكنشي مالي و بانكي حساسي مانند پي‌پال در ارتباط است. چلبس مي‌گويد هنگامي كه بتوان اين سيستم امنيتي را دور زد، دسترسي به حساب كاربري پي‌پال و انتقال پول يا خريد ساده خواهد بود.
با اين شرايط بايد پرسيد چرا سامسونگ اين سيستم اثرانگشت را طراحي كرده است؟ جواب آن شايد اين باشد كه اين شركت از نمونه‌هاي ديگر ساخته شده موجود در بازار براي آندروئيد تجربه‌اندوزي نكرده است و نخواسته است آن‌ها را بازبيني و اشكالاتشان را بررسي و برطرف کند.
[عکس: 156%20-%20hack%20galaxy%205%20-%2001.jpg]
همچنين شايد سامسونگ با عجله اقدام به افزودن سيستم اثرانگشت روي S5 كرده و ديگر به فكر امنيت آن نبوده است. هكرهاي كلاه سفيد SRL با نمايش ويديوی هك شدن اين سيستم، مي‌گويند حتي پس از خاموش شدن گوشي هم مي‌توان با يك اثرانگشت جعلي سيستم را دور زد و با استفاده نامحدود از اثرانگشت‌هاي جعلي هيچ نيازي به وارد كردن رمزعبور نيست. يعني كاربران مي‌توانند نامحدود براي وارد شدن به گوشي تلاش كنند و هيچ چيزي مانع آن‌ها نمي‌شود. اتصال سيستم اثرانگشت به حساب‌هاي كاربري حساسي مانند پي‌پال اتفاقاً انگيزه مجرمان را افزايش مي‌دهد و يك عامل انگيزشي قوي براي آن‌ها خواهد بود كه به سراغ جعل اثرانگشت بروند.
مقامات شركت پي‌پال در قبال گزارش‌هاي هكرهاي كلاه سفيد واكنش نشان دادند و در يك بيانيه اعلام كرده‌اند اتصال حساب‌هاي كاربري به اثرانگشت دقيقاً براي جلوگيري از هك شدن طراحي شده‌اند. در اين بيانيه آمده است: «اسكن باز يك كليد رمزنگاري امن است كه جايگزين رمزهاي عبور متني براي تلفن‌هاي همراه شده است. ما به‌سادگي مي‌توانيم يك كليد نامعتبر يا به سرقت رفته را غيرفعال كنيم و كاربر به سرعت يك كليد جديد تعريف كند. پي‌پال همچنين با استفاده از سيستم‌هاي امنيتي احرازهويت پيشرفته و ابزارهاي مديريت تهديدات تلاش مي‌كند از جعل و تقلب كليدها پيش از استفاده و رخ دادن يك اتفاق جلوگيري كند. به هر حال، ممكن است در برخي موارد کم‌یاب كه در دسترس كاربران معمولي نيست بتوان اين موارد امنيتي را دور زد.»
همانند هك سيستم Touch ID آي‌فون در سپتامبر گذشته، هكر سيستم اثرانگشت سامسونگ از روش‌هاي كلاه‌برداري با چسب‌هاي چوبي استفاده كرده است. در اين روش با استفاده از يك ماكت يا قالب و چسب چوب، اثرانگشت را روي آن قلم‌كاري مي‌كنند. البته اين روش براي گوشي آي‌فون عمل نكرده است و هنوز دلايل آن معلوم نيست اما به راحتي مي‌تواند گوشي سامسونگ را دور بزند. چلبس درباره اين‌كه آيا افراد معمولي هم مي‌توانند سيستم اثرانگشت گوشي گلكسي S5 سامسونگ را در دنياي واقعي هك كنند يا خير توضيح مي‌دهد: «براي افرادي كه عكسي از اثرانگشت خود روي پايگاه‌هاي اطلاعاتي سراسر جهان داشته باشند يا اين‌كه بتوانند مانند من اين اثرانگشت را قالب‌گيري كنند، هك گوشي S5 عملي است. براي ديگران نيز خطر جعل اثرانگشت يا سرقت آن وجود دارد.
به یقین در آينده با تعداد زيادي حمله بر‌عليه سيستم اثرانگشت دستگاه‌هاي مختلف روبه‌رو خواهيم شد و با توجه به اين‌كه سيستم امنيتي ضعيفي دارند، شاهد ساختن قالب‌هاي آماده‌اي هستيم كه مي‌توان اثرانگشت كاربران را روي آن حك كرد و سيستم اثرانگشت گوشي را دور زد. جعل و سرقت اثرانگشت نيز رواج خواهد يافت. اكنون اين انگيزه براي خراب‌كاران فراهم شده است.»
[عکس: 156%20-%20hack%20galaxy%205%20-%2002.jpg]
وي مي‌گويد شركت سامسونگ مي‌توانست سيستم امنيتي بسيار امن‌تري را پياده‌سازي كند و مهندسان طراح اين شركت سياست‌هاي سخت‌گيرانه‌تر و اقدامات بازدارنده‌اي عليه جعل و سرقت اثرانگشت اعمال كنند. از جمله اين سياست‌ها قفل كردن گوشي بعد از چند بار تلاش ناموفق در شناسايي اثرانگشت و نياز به رمزعبور يا پين‌كد براي بازگشايي تلفن همراه است.
چلبس انتقاد ديگري هم از سازندگان سيستم‌هاي اثرانگشت روي گوشي‌هایی مانند اپل، سامسونگ، موتورولا و ديگر شركت‌ها دارد. چرا مكانيزمي براي تغيير اطلاعات كاربر بعد از نشت اطلاعات و استفاده از روش‌هاي ديگر احرازهويت كاربر وجود ندارد؟ هكرها مي‌توانند با يك بار سرقت اثرانگشت تا ابد از آن استفاده كنند: «رمزعبور مي‌تواند مخفي نگه داشته شود يا در هر زمان اگر به سرقت رفت اقدام به تغيير آن داد. اما اثرانگشت اين‌گونه نيست و كاربر مجبور است هميشه براي باز كردن قفل گوشي از انگشت خود استفاده كند كه تغييرناپذير است.
كاربران بايد آگاه باشند كه سيستم اثرانگشت به تنهايي نمي‌تواند امنيتي كافي فراهم كند و با شبيه‌سازي اثرانگشت يا عكس گرفتن از آن مي‌توان به در اين سيستم تقلب كرد و سيستم احرازهويت گوشي را فريب داد.» آزمايشگاه SRL يكي از چندين مركز تحقيقات امنيتي است كه درباره هك شدن ساده سيستم اثرانگشت گوشي S5 سامسونگ اطلاع‌رساني كرد. با توجه به بازار تلفن همراه كه سامسونگ در رتبه نخست فروش آن قرار دارد، به زودي شاهد خبرهاي هك گوشي‌هاي S5 باشيم.

منبع: shabakeh-mag.com