بازاریابی گسترده و سنگین حسگر اثر انگشت که توسط سامسونگ برای تلفن هوشمند گلکسی 5 به راه افتاده بود، به آسانی توسط هکرهای کلاه سفید شکسته شد، به طوریکه با شکستن این قفل هکرها به آسانی و بدون محدودیت به حساب کاربری پی پال میتوانند متصل شوند. این هک که توسط محققان آزمايشگاه تحقیقات امنیتی واقع در کشور آلمان صورت گرفته است، سرانجام نشان داد که به کارگیری سیستم شناسایی اثر انگشت و سیستمهای تصدیق هویت که بر مبنای مشخصه فردی یا همان زیست محیطی افراد در دستگاههای محاسباتی استفاده میشوند، همچنان میتوانند بیفایده باشند. همچنان که طرفداران سیستمهای بیومتریک از این سیستمها به عنوان سادهترین و در عین حال ایمنترین روشهايي که میتوانند به عنوان جایگزین برای رمزهای عبور از آنها استفاده شود، هکرها با کمترین زحمت در فروشگاههای شهروندی، صف اتوبوسها، در حال خوردن غذا در رستورانها به راحتی و با فرصت کامل میتوانند این قفلها را شکسته و از دستگاههای هک شده استفاده کنند. این کشف جدید هفت ماه بعد از آن صورت میگیرد که گروه جداگانهای از هکرهای کلاه سفید اقدام به هک کردن سیستم شناسایی اثرانگشت لمسی اپل کردند که در کمتر از 48 ساعت بعد از عرضه رسمی آن توسط اپل صورت گرفت.
بن چلبس یکی از محققان آزمایشگاه اس.آر.ال در اینباره میگوید: ما منتظر بودیم که سیستم اثر انگشت S5 را بشکنیم. سیستم اثر انگشت جدید S5 قابلیت جدیدی را ارائه نکرده است، به دلیل اینکه روشی که توسط این دستگاه مورد استفاده قرار گرفته از ریسک بیشتری نسبت به دستگاههای اندروئید که در بازار موجود است، بهره میبرد.
چلبس در ادامه میگوید، سیستم جدید سامسونگ یک عقبگرد کامل به شمار میرود، به دلیل اینکه برعکس آیفون،S5 هیچ سازوكاري برای درخواست رمزعبور، زمانیکه با تعداد زیادی از اثرانگشتهای جعلی روبهرو میشود، را ندارد. به سادگی با راهاندازی مجدد این دستگاه هکر این توانایی را دارد تا دستگاه را وادار سازد، تا تعداد نامحدودی اثر انگشت را بدون احتیاج به اینکه رمزعبور را وارد کند، آزمايش کند. اما نگرانی مضاعفتری نیز وجود دارد، نفوذگری که موفق به هک کردن اثر انگشت S5 شود، میتواند به آسانی به سیستمهای حساس بانکی یا برنامههای پرداخت وجه مانند پی پال متصل شود. چلبس در آزمایشی که انجام داده است موفق شده از سیم اثر انگشت عبور کرده و آن را دور بزند، به طوریکه دسترسی کامل به حساب کاربری که شامل حجم بالایی از نقل و انتقالات را انجام میدهد را پیدا کرده است.
چلبس در ویدویی که درباره این هک منتشر کرده است میگوید شاید بیشترین نگرانی از این بابت است که سامسونگ هیچ چیز، از آنچه که توسط دیگران مورد استفاده قرار گرفته، یاد نگرفته و سعی نکرده است، آنها را بررسی كند. اما این تنها مسئله در مورد گوشی جدید نیست، نه تنها ربایش سیستم تصدیق هویت اثر انگشت در این سیستم امکانپذیر است، بلکه بعد از اینکه گوشی به طور کامل خاموش میشود، سازوكار پیادهسازی شده همچنان اجازه میدهد که کوششهای تصدیق هویت بدون محدودیت را، بدون نیاز به رمزعبور به آسانی انجام گیرد. این سیستم تصدیق اثر انگشت الحاقی و اتصال آن به برنامههای حساس مانند پی پال به هکرها یک دلگرمی مضاعف را میدهد که به سادگی به جعل اثر انگشت مبادرت ورزند.
در همین رابطه، سخنگوی پی پال در بیانیهای به این گزارش آزمایشگاه واکنش نشان داده است و میگوید سیستم اثرانگشت برای جلوگیری از دستیابی آسان هکرها به حسابهای بانکی بوده و به صورت یکپارچه طراحی شده است.
در ادامه این بیانیه آمده است، اسکن یک کلید رمزنگاری ایمن که به عنوان یک جایگزین برای رمزهای عبور مورد استفاده قرار میگیرد، به آسانی باز میشود. ما به سادگی میتوانیم کلید یک دستگاه به سرقت رفته و یا گم شده را غیرفعال کنیم و شما میتوانید کلید دیگری برای آن بسازید. پی بال همچنین از ابزارهای مدیریت خطر که برای پیشگیری از به وجود آمدن چنین مخاطراتی است، استفاده میکند. با این حال در مواردی که به ندرت ممکن است بروز کند و شامل حال کاربران عادی نمیشود، ممکن است نفوذگران از این سد ابزارهای امنیتی عبور کنند.
همانگونه که شهریورماه گذشته Touch ID هک شد، حمله بر روی سیستم تشخیص اثرانگشت گالکسی S5 با استفاده از "نیرنگ چسب چوبی" انجام گرفته است. در این روش اثرانگشت بر روی یک ماکت با استفاده از چسب قلمکاری میشود. البته این تکنیک بر روی گوشیهای آيفون عمل نکرده، اما بدون مشکل خاصی بر روی گوشیهای S5 عمل میکند.
چلبس در ادامه در پاسخ به این پرسش که آیا کاربران عادی نیز توانایی پیادهسازی چنین تکنیکی را دارند یا خیر میافزاید: برای افرادی که تصویر اثر انگشت آنها در بانکهای اطلاعاتی جهانی به ثبت رسیده است (و یا حتی اثر انگشت آنها در ادارات ثبت شده باشد) و یا همانند روشی که من از آن استفاده کردم حمله امکانپذیر است. برای کاربران دیگر،که از تکنیک تشخیص اثر انگشت برای احراز هویت خود بر روی گوشیهای همراه و یا دستگاههای دیگر استفاده میکنند نیز این خطر وجود دارد.
او در ادامه میافزاید شرکت سامسونگ میتوانست بر روی سیستم شناسايی اثر انگشت خود کار بیشتری کند، پیادهسازی یک سیستم محافظتی رمزعبور بعد از چند کوشش ناموفق از طرف کاربر که منجر به قفل کردن گوشی میشود، نمونهای از این موارد است، مهندسان این شرکت بهتر است از ابزارهای سختگیرانهتری برای جعل هویت استفاده کنند.
چلبس انتقاد دیگری نیز نسبت به شرکتهای سامسونگ، اپل و موتورلا و استفادهکنندگان سیستمهای تشخیص هویت که بر مبنای اثر انگشت کار میکنند دارد و میگوید، عدم وجود روشهای تشخیص هویت کاربر که با استفاده از آن بتواند اطلاعات را تغییر دهد، در این سیستمها در نظر گرفته نشده است، به طوریکه مانع از به سرقت رفتن اطلاعات شود. زمانیکه هکری یک بار موفق به شکستن این سیستم تشخیص اثر انگشت شود، تا ابد میتواند از آن استفاده کند. او در ادامه میافزاید: رمزهای عبور در صورتیکه به سرقت رفته یا گم شوند، میتوانند تغییر کنند و حتی به صورت کاملا مخفیانه نگه داشته شوند، اما کاربر برای باز کردن دستگاههای مورد نیاز خود نیازمند لمس فیزیکی اثرانگشت خود با دستگاه است. کاربران باید در این مورد که اثرانگشت به تنهایی نمیتواند از آنها در برابر تهدیدات امنیتی محافظت به عمل آورد آگاهی داشته باشند به طوری که در مقایسه با رمزهای عبور قابل مقایسه نیستند.
آخرین ارسال های انجمن
عنوان | پاسخ | بازدید | توسط |
هر کی این مداحی رو داره تو همین قسمت از انجمن تاپیک بذاره!!! | 0 | 490 | mohammadali |
دانلود 8 کتاب سهراب سپهری | 0 | 303 | mohammadali |
روزی دروغ به حقیقت گفت... | 0 | 359 | mohammadali |
لغت نامه و آموزش زبان ترکی آذربایجانی. | 0 | 330 | mohammadali |
نقشه ی ایران با قدرت زوم بی نهایت!!! | 0 | 339 | mohammadali |