قفل اثر انگشت به راحتی باز می شود

بازاریابی‌ گسترده و سنگین حسگر اثر انگشت که توسط سامسونگ برای تلفن هوشمند گلکسی 5 به راه افتاده بود، به آسانی توسط هکرهای کلاه سفید شکسته شد، به طوری‌که با شکستن این قفل هکرها به آسانی و بدون محدودیت به حساب کاربری پی پال می‌توانند متصل شوند. این هک که توسط محققان آزمايشگاه تحقیقات امنیتی واقع در کشور آلمان صورت گرفته است، سرانجام نشان داد که به کارگیری سیستم شناسایی اثر انگشت و سیستم‌های تصدیق هویت که بر مبنای مشخصه فردی یا همان زیست محیطی افراد در دستگاه‌های محاسباتی استفاده می‌شوند، همچنان می‌توانند بی‌فایده باشند. همچنان که طرفداران سیستم‌های بیومتریک از این سیستم‌ها به عنوان ساده‌ترین و در عین حال ایمن‌ترین روش‌هايي که می‌توانند به عنوان جایگزین برای رمزهای عبور از آنها استفاده شود، هکرها با کمترین زحمت در فروشگاه‌های شهروندی، صف اتوبوس‌ها، در حال خوردن غذا در رستوران‌ها به راحتی و با فرصت کامل می‌توانند این قفل‌ها را شکسته و از دستگاه‌های هک شده استفاده کنند. این کشف جدید هفت ماه بعد از آن صورت می‌گیرد که گروه جداگانه‌ای از هکرهای کلاه سفید اقدام به هک کردن سیستم شناسایی اثرانگشت لمسی اپل کردند که در کمتر از 48 ساعت بعد از عرضه رسمی‌ آن توسط اپل صورت گرفت. 
بن چلبس یکی از محققان آزمایشگاه اس.آر.ال در این‌باره می‌گوید: ما منتظر بودیم که سیستم اثر انگشت S5 را بشکنیم. سیستم اثر انگشت جدید S5 قابلیت جدیدی را ارائه نکرده است، به دلیل اینکه روشی که توسط این دستگاه مورد استفاده قرار گرفته از ریسک بیشتری نسبت به دستگاه‌های اندروئید که در بازار موجود است، بهره می‌برد. 
چلبس در ادامه می‌گوید، سیستم جدید سامسونگ یک عقب‌گرد کامل به شمار می‌رود، به دلیل اینکه برعکس آیفون،S5 هیچ سازوكاري ‌برای درخواست رمزعبور، زمانی‌که با تعداد زیادی از اثرانگشت‌های جعلی روبه‌رو می‌شود، را ندارد. به سادگی با راه‌اندازی مجدد این دستگاه هکر این توانایی را دارد تا دستگاه را وادار سازد، تا تعداد نامحدودی اثر انگشت را بدون احتیاج به اینکه رمزعبور را وارد کند، آزمايش کند. اما نگرانی مضاعف‌تری نیز وجود دارد، نفوذگری که موفق به هک کردن اثر انگشت S5 شود، می‌تواند به آسانی به سیستم‌های حساس بانکی یا برنامه‌های پرداخت وجه مانند پی پال متصل شود. چلبس در آزمایشی که انجام داده است موفق شده از سیم اثر انگشت عبور کرده و آن را دور بزند، به طوری‌که دسترسی کامل به حساب کاربری که شامل حجم بالایی از نقل و انتقالات را انجام می‌دهد را پیدا کرده است. 
چلبس در ویدویی که درباره این هک منتشر کرده است می‌گوید شاید بیشترین نگرانی از این بابت است که سامسونگ هیچ چیز، از آنچه که توسط دیگران مورد استفاده قرار گرفته، یاد نگرفته و سعی نکرده است، آنها را بررسی كند. اما این تنها مسئله در مورد گوشی جدید نیست، نه تنها ربایش سیستم تصدیق هویت اثر انگشت در این سیستم امکان‌پذیر است، بلکه بعد از اینکه گوشی به طور کامل خاموش می‌شود، سازوكار پیاده‌سازی شده همچنان اجازه می‌دهد که کوشش‌های تصدیق هویت بدون محدودیت را، بدون نیاز به رمزعبور به آسانی انجام گیرد. این سیستم تصدیق اثر انگشت الحاقی و اتصال آن به برنامه‌های حساس مانند پی پال به هکرها یک دلگرمی‌ مضاعف را می‌دهد که به سادگی به جعل اثر انگشت مبادرت ورزند. 
در همین رابطه، سخنگوی پی پال در بیانیه‌ای به این گزارش آزمایشگاه واکنش نشان داده است و می‌گوید سیستم اثرانگشت برای جلوگیری از دستیابی ‌آسان هکرها به حساب‌های بانکی بوده و به صورت یکپارچه طراحی شده است. 
در ادامه این بیانیه آمده است، اسکن یک کلید رمزنگاری ایمن که به عنوان یک جایگزین برای رمزهای عبور مورد استفاده قرار می‌گیرد، به آسانی باز می‌شود. ما به سادگی می‌توانیم کلید یک دستگاه به سرقت رفته و یا گم شده را غیرفعال کنیم و شما می‌توانید کلید دیگری برای آن بسازید. پی بال همچنین از ابزارهای مدیریت خطر که برای پیشگیری از به وجود آمدن چنین مخاطراتی است، استفاده می‌کند. با این حال در مواردی که به ندرت ممکن است بروز کند و شامل حال کاربران عادی نمی‌شود، ممکن است نفوذگران از این سد ابزارهای امنیتی عبور کنند. 
همان‌گونه که شهریورماه گذشته Touch ID هک شد، حمله بر روی سیستم تشخیص اثرانگشت گالکسی S5 با استفاده از "نیرنگ چسب چوبی" انجام گرفته است. در این روش اثرانگشت بر روی یک ماکت با استفاده از چسب قلمکاری می‌شود. البته این تکنیک بر روی گوشی‌های آيفون عمل نکرده، اما بدون مشکل خاصی بر روی گوشی‌های S5 عمل می‌کند. 
چلبس در ادامه در پاسخ به این پرسش که آیا کاربران عادی نیز توانایی پیاده‌سازی چنین تکنیکی را دارند یا خیر می‌افزاید: برای افرادی که تصویر اثر انگشت آنها در بانک‌های اطلاعاتی جهانی به ثبت رسیده است (و یا حتی اثر انگشت آنها در ادارات ثبت شده باشد) و یا همانند روشی که من از آن استفاده کردم حمله امکان‌پذیر است. برای کاربران دیگر،که از تکنیک تشخیص اثر انگشت برای احراز هویت خود بر روی گوشی‌های همراه و یا دستگاه‌های دیگر استفاده می‌کنند نیز این خطر وجود دارد. 
او در ادامه می‌افزاید شرکت سامسونگ می‌توانست بر روی سیستم شناسايی اثر انگشت خود کار بیشتری کند، پیاده‌سازی یک سیستم محافظتی رمزعبور بعد از چند کوشش ناموفق از طرف کاربر که منجر به قفل کردن گوشی می‌شود، نمونه‌ای از این موارد است، مهندسان این شرکت بهتر است از ابزارهای سخت‌گیرانه‌تری برای جعل هویت استفاده کنند. 
چلبس انتقاد دیگری نیز نسبت به شرکت‌های سامسونگ، اپل و موتورلا و استفاده‌کنندگان سیستم‌های تشخیص هویت که بر مبنای اثر انگشت کار می‌کنند دارد و می‌گوید، عدم وجود روش‌های تشخیص هویت کاربر که با استفاده از آن بتواند اطلاعات را تغییر دهد، در این سیستم‌ها در نظر گرفته نشده است، به طوری‌که مانع از به سرقت رفتن اطلاعات شود. زمانی‌که هکری یک بار موفق به شکستن این سیستم تشخیص اثر انگشت شود، تا ابد می‌تواند از آن استفاده کند. او در ادامه می‌افزاید: رمزهای عبور در صورتی‌که به سرقت رفته یا گم شوند، می‌توانند تغییر کنند و حتی به صورت کاملا مخفیانه نگه داشته شوند، اما کاربر برای باز کردن دستگاه‌های مورد نیاز خود نیازمند لمس فیزیکی اثرانگشت خود با دستگاه است. کاربران باید در این مورد که اثرانگشت به تنهایی نمی‌تواند از آنها در برابر تهدیدات امنیتی محافظت به عمل آورد آگاهی داشته باشند به طوری که در مقایسه با رمزهای عبور قابل مقایسه نیستند.