В приложениях с поддержкой Touch ID обнаружена массовая узявимость

135

Touch ID

Сейчас многие мессенджеры, банковские и другие приложения позволяют производить авторизацию с помощью сканера отпечатков пальцев Touch ID — это гораздо удобнее, чем по несколько раз вводить пароль. Но безопаснее ли биометрическая защита? Нет ли риска, что кто-то получит доступ к вашей переписке или, что еще хуже, к банковскому счету?

В Apple считают, что все полностью безопасно, но как выяснили в лаборатории «Кадмус», эксперты которой ранее нашли уязвимость в Siri, это вовсе не так. Дело в том, что многие разглашают свой личный пароль от телефона — семье, друзьям, иногда даже тем, кого толком и не знают. В этом случае у злоумышленников развязываются руки: если они знают пароль от устройства (или пароль вовсе не установлен), они могут запросто добавить свой новый отпечаток пальца в систему, а затем использовать его для входа по Touch ID.

Наглядный пример — у вас установлено приложение Telegram с защитой паролем. Пароль отличный от системного, и никто его не знает, а вот системный пароль своей девушке вы сообщили. Она запросто добавит свой отпечаток, а потом откроет Telegram с помощью Touch ID.

Чтобы приложение было защищено, в момент запуска оно должно проверять — не появились ли новые отпечатки с момента последнего входа. Если новые отпечатки есть, то вход должен работать только по паролю приложения. Так работает защита App Store и некоторых других приложений.

Однако таких защищенных программ пока очень мало, поэтому эксперты уже отправили результаты исследования и свои рекомендации разработчикам протестированных приложений. Ответные действия на предоставленные рекомендации уже оперативно предприняты службой информационной безопасности банка «Сбербанк»: алгоритм входа в банковское приложение по отпечатку пальца изменен, чтобы гарантировать защиту данных пользователей.

В качестве благодарности за найденную уязвимость Evernote добавил лабораторию «Кадмус» в «Зал славы», LastPass и еще 12 приложений должны вскоре ее устранить. Тем не менее уязвимых программ пока очень много — счет идет на тысячи.

Пока выход из этой ситуации для пользователя довольно простой: всегда использовать пароль на телефоне, никому его не сообщать, а также отключать Touch ID в настройках важных приложений. И, конечно, использовать разные пароли для входа в программы.

135 комментариев

  1. 52

    Как без мата вас обматерить???? Никакой уязвимости нет. Если тупой владелец выдал пароль на телефон, то ни один отпечаток вас не защитит! (отправлено из приложения AppleInsider.ru)

    • 5

      farnsvord, Поддерживаю (отправлено из приложения AppleInsider.ru)

    • -27
      Александр Богданов

      farnsvord, если бы уязвимости не было, разработчики не исправляли бы ее.

      • 20

        Александр, А как исправить уязвимость головного мозга? (отправлено из приложения AppleInsider.ru)

      • 4

        Александр, Они исправили то, что ты сам выдаёшь пароль на телефон) ? В новой версии ты не можешь сказать никому пароль? (отправлено из приложения AppleInsider.ru)

        • -4
          Александр Богданов

          farnsvord, Чтобы приложение было защищено, в момент запуска оно должно проверять — не появились ли новые отпечатки с момента последнего входа.

      • 2

        Александр, Название статьи — раздуваем из мухи слона.

      • 0

        Александр, Назвали бы статью так — В сервис центрах по ремонту техники Apple с ваших банковских счетов могут украсть все деньги!
        Ведь, сдавая айфон с разбитым экраном или попавшем в воду или мертвой батареей, ремонтники просят пароль от айфона, чтобы протестировать после ремонта..
        Какой-нибудь новый работник, может обворовать всех клиентов у кого установлены банковские приложения…
        Лайфхак для нечестных работников в сервис центрах…

        • 1

          Elena88, Полный дурак даст пароль от телефона со всеми картами ремонтникам, тем более genius bar в apple store никогда такого себе не позволяет клянчить пароли, спрашивают сделан ли был бэкап и если надо совершать сложный ремонт стирают весь контент и настройки, при вас! (отправлено из приложения AppleInsider.ru)

    • -14
      Ренат Гришин

      farnsvord, Вы почитайте внимательно, что написано в статье. Пароль от телефона — это одно. Дали знакомому Я.Карты посмотреть, или в игры поиграть, или в кафе сказали его жене, а кто-то услышал. Но беда заключается в том, что, например, имея разблокированный телефон можно зайти в ЛЮБОЕ приложение, которое авторизируется по отпечатку пальца. Это баг и баг очень серьезный. Приложения ОБЯЗАНЫ проверять, что отпечаток был добавлен новый и просить ввести пароль. Если вы так входите в ВКонтакт или Одноклассники, то это пол беды. А вот попасть таким способом в банковское приложение — совсем другая история. «Тупым» владельцем может оказаться каждый. Наша задача, как пользователя знать об уязвимости, а задача Apple (или разработчиков) сделать так, чтобы уязвимость не работала. Уже не один десяток крупных разработчиков подтвердили серьезность уязвимости и закрывают эту дырку, поэтому не стоит выдавать свое невежество такими комментариями.

      • 9

        Ренат, А элементарно не давать пароль? Самому там ввести, какой-то кейс, как вы это у называете, у вас маловероятный. (отправлено из приложения AppleInsider.ru)

        • -2
          Ренат Гришин

          Artem, Подсмотреть ваш четырех значный пароль как раз плюнуть, если вы не параноик. Потом телефон крадут и за 3 минуты снимают ваши деньги со всех банковских приложений и подбрасывают (выбрасывают) телефон. Пароль на телефон НЕ ДОЛЖЕН давать доступ к запароленным тач-айди приложениям. Это разве не очевидно?

          • 6

            Ренат, Ренат ты занимаешься самоубеждением! Токую точку зрения можно применить ко всему. Не давайте ключи от квартиры, могут сделать дубликат и т.д. (отправлено из приложения AppleInsider.ru)

            • 1

              ulbgt, сравните защиту от банкомата (чип + пин-код который рекомендуют прикрывать рукой) и от приложения банка (только пароль телефона).

          • 7

            Ренат, Для этого и сделан TouchID, чтобы пароль не печатать.
            Если надо кому-то дать телефон — разблокируется по тач и отдается. Если не давать пароль, то отпечаток добавить нельзя.
            Это не уязвимость. Это повод пошуметь. Имея на руках телефон, даже если вход не по тачу, можно сбросить пароль для входа через смс.

            • -10
              Ренат Гришин

              TheImbalance, Подглядеть 4х цифренный пароль, который вводится по 100 раз в день — это не защита от злоумышленника, а минимальный уровень безопасности, если телефон потеряется или забудется в кафе. Я думаю почти все ваше окружение ваш пароль знает, а если не знает, то видимо не задавались такой целью. Я не видел людей, которые разблокируя айфон по паролю прячут телефон под курткой, чтоб никто не увидел.

              • 5

                Ренат, Имея тачайди мало кто вообще вводит пароль, тем более на людях (отправлено из приложения AppleInsider.ru)

                • -10
                  Ренат Гришин

                  farnsvord, Это правда. Вот только на 5s — 6 датчик прямо скажем, так себе. Но в целом ситуация не нормальная, когда пароль от телефона отменяет ВСЕ ПАРОЛИ твоих приложений, которые работают по touch-id. Что с этим спорить то, я не понимаю 🙂

                  • 0

                    Ренат, По этой логике можно вообще не ставить пароль на телефон (отправлено из приложения AppleInsider.ru)

                  • 0

                    Ренат, Я Вас очень уважаю, но не надо грязи! У 5S нормальный датчик — ни разу не возникало дискомфортных ситуаций. К тому же, с чего Вы вообще взяли, что пароль у всех четырёхзначный? Есть статистика? (Кстати, можно провести опрос). (отправлено из приложения AppleInsider.ru)

              • 3

                Ренат, Никто не разблокирует телефон по паролю, если есть тачайди блин!!! Никто не знает мой пароль от телефона кроме меня. Я ввожу его раз в 2-3 месяца после обновления прошивки.

                • -2
                  Ренат Гришин

                  TheImbalance, Значит вы менее подвержены риску, чем другие, кто вводит его часто. Все люди разные. Речь не о том, грозит ли лично ВАМ эта уязвимость. Речь о десятках миллионов человек. Это уже совсем другая выборка =)

                • 0

                  TheImbalance, вводить пароль приходится с случаях, указанных по ссылке http://appleinsider.ru/iphone/apple-rasskazala-o-detalyax-raboty-touch-id.html

                  • 0

                    cadmus, также в этом году были введены новые ограничения на использования touch id для входа в телефон

                    1. если устройство ни разу не было разблокировано с помощью мастер пароля в течение последних 6 дней
                    2. устройство ни разу не было разблокировано с помощью сканера отпечатков пальцев Touch ID в течение последних 8 часов

                    поэтому, пароль вы вводите минимум раз в 6 дней, и если спите больше 8 часов.

              • 0

                Ренат, Тем более, что на улице пароли не вводят, а прикладывают пальчик, а за этим смотрите сколько хотите, пароль вводится при перезагрузки iPhone, а смысл его на улице перегружать? (отправлено из приложения AppleInsider.ru)

              • -2

                Ренат, Ни разу в жизни не использовал Touch ID. Просто каждый день меняю пароль. Защита в голове должна быть, а не в приложении. Так-то можно умереть, например, или палец потерять. А если разум потерять то на защиту телефона уже будет фиолетово) (отправлено из приложения AppleInsider.ru)

            • 0

              TheImbalance, пароль на iPhone у некого процента пользователей, для удобства, вообще не установлен, хотя они вправе рассчитывать на защиту каких-то важных приложений.

            • 0

              TheImbalance, А если телефон в ремонт отправляется . Там он у мастера разблокирован . Все в его руках . (отправлено из приложения AppleInsider.ru)

          • -2

            Ренат, Ага, вор подсмотрел пароль, а потом гонялся за мной по городу, ловя момент, чтобы стибрить телефон? Всю ночь под дверью ждал, когда я утром из дома выйду, потом опять гонялся, и так месяц, пока я телефон не зевну? (отправлено из приложения AppleInsider.ru)

          • 0

            Ренат, Как закрыть уязвимость, при которой тебе могут отрезать палец и использовать отпечаток? (отправлено из приложения AppleInsider.ru)

          • 3

            Ренат, это должна быть прям спецоперация карманника-шпиона-хакера-кардера…
            Еду я в метро, ввожу пароль или он у меня вовсе без пароля, но пароли на приложениях Сбербанк, ВТБ24, Альфа банк, Райфайзен и Тинькофф стоят разные… сзади стоял карманник подсмотрел мой пароль, а позже украл мой айфон.
            После чего у него есть время от 10 мин до 6 часов, пока я замечу пропажу и заблокирую айфон.
            За это время ему надо:
            1.скрыться с места или не параноить, что я уже слежу за место расположением своего айфона.
            2.и самому за мной следить, чтобы видеть что я не обнаружила еще пропажу.
            3.найти место без камер, где он сможет ввести свои отпечатки..
            4. Начать переводы с банков на свои счета..
            или на подставные счета?
            У него есть все банки или он будет переводить все на подставной счет в ВТБ24? из разных банков переводы идут по 6 часов минимум..
            5. Обналичить все эти счета со своих карт или отмыть через кого-то.
            Позже все счета будут заблокированы, а их владельцы проверены.

            Все нехорошие люди с чужим айфоном в руках знают, что его могут отслеживать и выключают айфон и больше не включают с симкой внутри и включеным вайфаем.

            Ваша «уязвимость» для 0,00005% случаев.

            • 0

              Elena88, сосед по общаге; проститутка; ремонтник apple; прохожий просит позвонить маме т.к. телефон сел; «друзья»; жена; потерянный телефон без пароля…

              Заметно, что вы хорошо уловили суть. Добавлю, что это актуально для каждого, а реализуется он для долей процента. Каждый должен решить готов ли он попасть в эту долю процента или хочет гарантию защиты.

            • 0

              Elena88, Да те же яндекс.деньги или вебмани, номер телефона — можно даже с кредитных карт закинуть. (отправлено из приложения AppleInsider.ru)

          • 2

            Ренат, Чтобы добавить новый палец нкжно же сначала ввести пароль.

      • 1

        Ренат, не спорь с ними, если они идиоты то это надолго… ты им про Ивана… Нужно просто добавить запрос пароля Apple ID при добавлении нового пальца в Touch ID. Всё, проблема решена.

      • 0

        Ренат, А для чего вам «ограничения»???? (отправлено из приложения AppleInsider.ru)

      • 0

        Ренат, Ренат, не спорьте с ними. Понятно ведь, что это серьёзнейшая УЯЗВИМОСТЬ. Куча личной и финансово — уязвимой (сорри за тавтологию) информации находиться в телефоне именно под дополнительной защитой, независимой от пароля разблокировки телефона. А эта доп защита на раз обходиться, если злоумышленник знает код разблокировки.
        Спасибо за статью! (отправлено из приложения AppleInsider.ru)

      • 0

        Ренат, в таком случае, те же приложения должны проверять, стоит ли на них (приложениях такой же пароль, как на вход в систему. Как бы тоже баг. В мозгу только у некоторых.

    • 0
      Антон Григорьевич

      farnsvord, Плюсую неистово.

    • 0

      farnsvord, если вор перед кражей подсмотрит код?

  2. 3

    +1 бред пишете! (отправлено из приложения AppleInsider.ru)

  3. 7

    В приложениях с поддержкой TouchID обнаружена массовая уязвимость – сам пользователь. (отправлено из приложения AppleInsider.ru)

  4. 3

    Хреееееееень!!!!
    Что в стать, что в подкасте балаболили — вот вот у меня заведено 4 моих пальца, один жены.. ну не му..к? Хочешь быть защищенным — не давай пароли, а дал — не плачь потом и не пиши подобную хрень! (отправлено из приложения AppleInsider.ru)

  5. 0

    +1 полный бред!!! Как будто человек, который запароливает приложения, не будет запароливать айфон😁 Смешно (отправлено из приложения AppleInsider.ru)

  6. 2

    Спасибо, поржал😂
    «Иногда лучше жевать, чем говорить»

  7. 5

    Нет статьи на человеческую глупость. А заголовки можно и не делать такими громкими. Уязвимость головного мозга не является уязвимостью системы.

  8. 4

    Ну и где уязвимость? Статью ведроид писал 10000% (отправлено из приложения AppleInsider.ru)

  9. 0

    В последнее время только и читаю про недостатки и уязвимости (отправлено из приложения AppleInsider.ru)

  10. 0

    Зря потерял время (отправлено из приложения AppleInsider.ru)

  11. 1

    Реально бред. Как бы если даёте телефон в руки кому-то, можно заброкировать телефон на использование только этого приложения и никаких проблем. А уж отдал телефон добровольно не пойми кому — причём тут apple??

    • -3
      Ренат Гришин

      fegase, При том, что вы ставите защиту на вход в приложение Альфа-банка, к примеру по отпечатку своего пальца. А оказывается, что это не работает. Кто угодно может войти в это приложение. Сразу же встает вопрос — а зачем пароль при входе в Альфа-Банк? Достаточно 4 цифры при разблокировки телефона и делай что хочешь. Или зачем делать сложные пароли в 1password, когда зная ваши 4 цифры от разблокировки можно посмотреть все остальные пароли?

      • 0

        Ренат, Давольно давно есть возможность ставить пароль из 6 цифр, не говоря уже о буквенно цифровом пароле (отправлено из приложения AppleInsider.ru)

      • 0

        Ренат, Что значит зная 4 значный пароль от телефона, делай что хочешь? Во первых пароль от телефона это пароль от телефона. Во вторых, на любое приложение с тач, создается свой пароль, на тот же Яндекс.Почта. (отправлено из приложения AppleInsider.ru)

        • 1
          Ренат Гришин

          ulbgt, А вот так. Если я буду знать ваш 4х значный пароль, то я смогу войти в любое приложение, которое у вас запрашивает отпечаток при входе. В том и суть уязвимости и это просто КАРАУЛ. Я не понимаю комментаторов, которые этого не замечают и считают, что это вообще ОК =)

  12. 6

    То есть для «экспертов» стало сюрпризом, что зайдя в телефон по мастер-паролю можно добавлять и удалять отпечатки пальцев? Уязвимость тут только в глупости владельца, который раздаёт пароли направо и налево. (отправлено из приложения AppleInsider.ru)

    • -1

      mikalich, на телефоне может быть не установлен пароль и тогда защиты у ряда приложения просто нет, только её иллюзия.

      Если известен пароль от iPhone то его можно снять.

      • 0

        cadmus, Это все прекрасно известно. Где уязвимость? (отправлено из приложения AppleInsider.ru)

        • 0

          mikalich, на телефонах без пароля это доступ без авторизации приложениям.

          На телефонах с паролем — люди не подозревают, что передав пароль от iPhone они автоматически дают доступ к счетам и данным, т.к. рассчитывают на защиту приложения.

          Злоумышленник может узнать пароль просто спросив его под предлогом звонка маме и вместо этого выполнить транзакцию.

      • 0

        cadmus, Если на телефоне не установлен пароль, то авториация по TouchID по умолчанию отключена. При подключении TouchID и прописывании отпечатков пальцев система в обязательном порядке потребует установить пароль. Если пароля нет — телефон незащищен.

  13. 2
    Ренат Гришин

    Все непонимающие сути уязвимости: ответьте себе на простой вопрос — «Должен ли 4х значный цифровой пароль на разблокировку телефона давать доступ к вашим банковским программам, дропбоксу и прочему?». Если ваш ответ «Нет», то именно это уязвимость и делает. Ну а если «Да», то вы любитель русской рулетки =)

    • 6

      Ренат, Должен ли пин-код банковской карты давать доступ к снятию денег в банкомате? Что-то в таком же духе..

      • -1
        Ренат Гришин

        fegase, Если вы будете вводить пин-код по 100 раз в день на глазах у всех, то не должен давать. Любые аналогии хромают, когда речь идет о конкретной уязвимости.

        • 0

          Ренат, Это вы не вкурсе еще, что можно настроить терминал на кассе так, чтобы пин-код не запрашивался. При чем, не важно как вы расплачиваетесь картой: чипом или бесконтактно. И ограничение на макс. сумму нет. Мне это подтвердили в отделении втб24 и заявили, что такова политика mastercard.

    • 1
      Антон Григорьевич

      Ренат, Уязвимость кроется в том кто эту уязвимость создал.

    • 2

      Ренат, Зачем вводить пароль если есть тач? И как бы можно и 6 значений выставить… (отправлено из приложения AppleInsider.ru)

    • 3

      Ренат, 4- или 6-значный пароль — это не только разблокировка телефона. Это мастер-пароль на телефон, позволяющий не только разблокировать аппарат, но и изменять любые системные настройки. Человек, раздающий посторонним пароль от своего телефона, мог бы вообще не блокировать свой аппарат. Зачем? Это то же самое, что писать пин-код на банковской карте и потом кричать, что банковские карты обладают уязвимостью в виде пин-кода. (отправлено из приложения AppleInsider.ru)

      • 0
        Ренат Гришин

        mikalich, Продолжу логику 🙂 А зачем пароли на приложения отдельные (почта, соц. сети и т.д.), если есть «мастер-пароль» от айфона? А то получаются двойные стандарты. Когда надо защищать Apple — не давайте никому пароль разблокировки, а когда защищать не надо — на каждое приложение еще по паролю 🙂

        • 2

          Ренат, я понимаю логику данной статьи и в какой-то мере с ней согласен. Однако, исходя из логики Apple и процедуры установки TouchID, вход по отпечатку пальца никоим образом не заменяет процедуру по входу пароля. Пароль телефона и TouchID дополняют друг друга, обеспечивая защиту аппарата. Если пароль кому-то известен — защита скомпрометирована напрочь, телефон незащищен. Так же, как и можно сделать сброс банковского пароля по СМС, сброс пароля facebook по электронной почте и прочее. Вывод — никогда и никому не надо давать пароль от своего телефона. Но это и раньше было известно.

          • 4
            Ренат Гришин

            mikalich, Все верно говорите, тут спорить не с чем. Но такая вещь, как безопасность должна рассматриваться со всех сторон. Самое простое решение: при добавлении отпечатка пальца в систему (а, согласитесь — это операция высшего приоритета безопасности) необходимо ввести пароль AppleID. И нет проблем.

        • 0

          Ренат, За тем, что ты в них не только с телефона заходишь! (отправлено из приложения AppleInsider.ru)

        • 1

          Ренат, вот и я бы задался вопросом, а зачем отдельные пароли на программы? Если такие пароли есть, то позволять разблокировку по отпечатку пальца значит сравнять этот пароль с паролем разблокировки телефона и тогда смысла в нем мало.

          Как по мне, все куда проще, такие пароли существуют только для того, чтобы ограничить доступ к программам людей, которым вы дали телефон на секунду «позвонить», то есть открыли телефон сами и вручили его человеку. Любителей раздавать свои пароли кому попало не спасет ничего.

          • 0

            Artemi, если пароля на iPhone нет, то важные приложения все-равно защищены если кто-то украдет телефон.

            Про сравнивание паролей от iPhone и приложений вы заметили абсолютно верно. Нет пароля на телефоне = нет пароля нигде. Это не хорошо.

  14. 2

    А зубная щетка с женой тоже одна на двоих (отправлено из приложения AppleInsider.ru)

  15. -2

    Проверяйте материал перед тем как писать подобный бред.
    Во-первых, каким надо быть человеком, чтобы давать пароль от телефона кому ни попадя.
    А во-второых, достаточно почитать официальную документацию, чтобы понять, что на уровне приложения нет ни какой возможности узнать, добавился ли новый отпечаток пальца в системе.

  16. 1
    Czochralski_TS

    «Массовая уязвимость» оказалась на проверку не уязвимостью, а просто тупым пользователем. Дно… (отправлено из приложения AppleInsider.ru)

  17. 1

    Брет, ну какой же это бред, массовая уязвимость, редакция ну вы что там билинов объелись!! хватить гоняться за кликами, ну ведь не плохой ресурс же вы, годные статьи у вас, ну это дно конечно, заголовки, заголовки, заголовки!!

  18. 2

    Почитал, поржал. Не считаю это уязвимостью. Многие уже говорили «Отдал ключи от дома» не ори, что ограбили. У меня стоит 8 значный пароль. Только я его знаю. Ввожу раз в 2 мес. В чем проблема то? И давайте на чистоту. Большинство если и ставят пароль то типа 1234. Но у таких обычно нет банковских приложений ибо если есть то сразу задумываются над безопасностью. Итого: это не уязвимость, а разгильдяйство пользователей. Для того что бы иметь защиту — Apple уже все сделала. Пользоваться тоже надо с головой. (отправлено из приложения AppleInsider.ru)

  19. 0

    Это как дать ключи от машины чужому человеку и надеяться, что пачку денег в бардачке никто не тронет. (отправлено из приложения AppleInsider.ru)

    • -2
      Ренат Гришин

      Artemi, Как вы думаете, почему большинство банков не дают ставить свой пин или менять существующий на банковской карте? Потому, что половина населения ставит пароль 1234 или похожие, а потом банку нужно разруливать ситуации о снятии денег третьими лицами. К сожалению, пользователь редко задумывается о безопасности и в этом нет его вины. Компании предлагают технологии облегчающие им жизнь и люди склонны этим технологиям доверять. Не все способны погрузиться в тематику и везде стелить солому. Еще меньше людей вообще хотят этим заниматься.

      • 0

        Ренат, К счастью живу в стране, где все банки позволяют менять пин-код банковской карты и никогда не имел дело с невозможностью его поменять (уже в 3 по счёту стране, где живу).

        Что касается безопасности в целом, являюсь сторонником болезненного опыта. Ошибки должны учить, желательно, чтобы не очень жёстко, но и не слишком мягко. И все равно не соглашусь с тем, что дать свой пароль члену семьи — хорошо и нормально, а возможность через этот пароль залезть глубже в телефон — «уязвимость». (отправлено из приложения AppleInsider.ru)

      • 0

        Ренат, 1234 тоже пароль.. А то, что он очень популярен человек не должен быть виноват.

  20. 1
    Ренат Гришин

    Дополнение: начиная с версии iOS9 у разработчиков есть возможность узнать, производится ли запуск и авторизация touch-id после добавления нового отпечатка. В этом случае необходимо просить ввести пароль заново. Но, как оказалось, большинство разработчиков чихать на это хотели. Более того, есть правильный способ: хранить пароль приложения в KeyChain, защищенным TouchId. KeyChain сам отрубает TouchId при смене отпечатков

    • 1

      Ренат, Прекрасно, то есть система позволяет правильно писать ПО, существуют инструменты, встроенные в систему, позволяющие повысить безопасность. Но «уязвимость» все равно в ОС, не в софте? (отправлено из приложения AppleInsider.ru)

    • 1
      Czochralski_TS

      Ренат, Вот об этом и надо писать в первую очередь: что инструменты для дополнительной проверки для разрабов существуют в самой ОС. Только причём же здесь уязвимость все-таки?!?! (отправлено из приложения AppleInsider.ru)

  21. 3

    Что не статья, то баг, ошибка и т.д. Мне кажется в апплинсайдер завелся диверсант и пишет статьи, чтобы подорвать доверие к технике аппл (отправлено из приложения AppleInsider.ru)

  22. -2

    Это действительно уязвимость. Не понимаю, почему тут все так недовольны. (отправлено из приложения AppleInsider.ru)

  23. 7

    Такое впечатление, что у авторов есть план по написанию количества статей и они его выполняют. Статья — полный бред. Лучше писать мало, но качественно.

  24. 0

    Очень долго не писал комментариев, чтобы не крыть авторов на чем свет стоит за бредятину. Тут уже не могу, опять накипело. У меня тринадцатизначный пароль, у жены — шестизначный, вводим утром проснувшись и надев часы. Дальше у меня в телефоне и мой и ее палец, у нее — и ее и мой, т.к. секретов друг от друга нет и платим Apple Pay’ем с семейного аккаунта. Какая нафиг «УЗЯвимость» у наших телефонов и на кой, спрашивается, черт нам нововведение, проверяющее отпечатки, будь они НАШИ новые или старые? Высосанная из пальца тема для статьи.

  25. 1

    Было бы неплохо в ограничениях сделать запрет на добавление отпечатков новых

  26. -1

    эппл ..овно.уязвимость там уязвимость тут,баг-лаг…что-то вообще все плохо.проблемные батарейки на 6s и тд итп на одной первой странице 3 статьи о разных багах.зато книга за 20 т р.да идите вы лесом

  27. 0

    Статья от кэпа просто, если хозяин телефона сообщил свой пароль, то это не уязвимость, это хозяин олень (отправлено из приложения AppleInsider.ru)

  28. 0

    Узявимость?)вы серьезно?!)))😂😂😂 (отправлено из приложения AppleInsider.ru)

  29. 0

    Всвязи с тем, что все-таки большинство читателей AppleInsider адекватные люди, в отличие от буйнопомешанного меньшинства, оставляющего негативные и технически безграмотные комментарии к статьям, предлагаю тему для подкаста : как 4% пи@&₽)о-в оказывают удивительно сильное влияния на стереотип, что у любителей техники Apple яблочное пюре вместо мозга. (отправлено из приложения AppleInsider.ru)

  30. 3

    Заголовок — громкий, но неправдивый.
    Из статьи стало понятно, что пароль от разблокировки iPhone равен = всем разным и индивидуальным паролям от банковских приложений и соцсетей.

    У меня например пароль от:
    iPhone — 1234
    Сбербанк — 0000
    Telegram — 2468
    И все они открываются через отпечаток, который знает только Apple. А значит мой отпечаток не знают Сбербанк и Telegram — хорошо что мой отпечаток не раздают всем подряд разработчикам, а то была бы реально уязвимость.

    Но если моя «подруга» решит приколоться над о мной — попросит показать мне фотки, я при ней открою айфон паролем 1234 (непонятно почему не touch id, но подиграем автору статьи). И вот она, делая вид, что смотрит фотки зайдет в настройки, добавит свой отпечаток, введя 1234 при добавлении.
    А затем в мой закрыты паролем Telegram, зайдет и прочитает переписку с ее мужем, где он хотел меня отжарить на кухонном столе и что моя попка более упругая, чем у жены… После чего она зайдет в приложение Сбербанк и переведет весь суточный лимит в 50 000 рублей себе на счет…

    Я закрывала разными паролями Telegram и Сбербанк и подруга их не видела. А она прочитала эту статью — сучка, и воспользовалась моментом…
    У меня претензия к разработчикам бы появилась наверно.

  31. 0

    Узявимость (отправлено из приложения AppleInsider.ru)

  32. -3

    Согласен. Это — уязвимость. Было бы правильно, чтобы при добавлении нового отпечатка пальца запрашивался пароль от учётной записи. Жаль, что этого нет. Или чтобы в ограничениях можно было бы добавить такую функцию. (отправлено из приложения AppleInsider.ru)

  33. 0

    Зачем говорить пароль на телефон (отправлено из приложения AppleInsider.ru)

    • 0

      bejemot, Допустим срочно понадобилось позвонить, не сработал несколько раз touchid, психанешь и быстро наберешь 4-х значный пароль, его запомнить для стороннего лица несложно. Завис телефон (на холоде может вырубился), перезагрузил и ввел пароль, в том же метро кто-то подсмотрел. Разные ведь ситуации бывают, думаю мало кто прячет телефон под куртку и вводит там свой пароль.
      Согласен с автором, запароленные приложения должны иметь дополнительную защиту при добавлении нового отпечатка, иначе смысл их независимого пароля (от пароля разблокировки телефона) теряется. (отправлено из приложения AppleInsider.ru)

  34. 1

    Железные сейфы, оказывается, тоже ненадежны. Ведь если ты кому-то дашь ключ от сейфа, он его с копирует и впредь сможет открывать сейф когда захочет. Как жить дальше, когда мозгов нет? 🙂 (отправлено из приложения AppleInsider.ru)

    • 0

      Lebar, Действительно, мой телефон-это мой сейф. Мои друзья догадываются где он стоит и только. Я и жена знаем комбинацию кода и вот уже 20 лет никому не говорим. Хотя если предположить, что нам начнут иголки под ногти засовывать))))))))))) (отправлено из приложения AppleInsider.ru)

  35. 0

    Я думаю, самый нормальный сопособ защиты — давать доступ в приложение для конкретных отпечатков. Появились новые отпечатки или не появились — без разницы. Если в приложение можно зайти по отпечатку №1, то по отпечатку №2, №3, №4, №5 и т.д. нельзя заходить — вне зависимости от того, были они добавлены до регистрации в приложении отпечатка №1 или после. Это более правильный подход.

    Иначе, получается, что отпечаток пальца — это как зашитый производителем системный пароль. Добавил свой отпечаток на телефон — имеешь полный системный доступ. Это неправильно.

  36. 0

    Ну так может произойти, когда покупаешь один телефон на 3 больших семьи:) когда все скидывались и всем хочется айфон (отправлено из приложения AppleInsider.ru)

  37. -1

    Что автор статьи, что большинство комментаторов — страдают слабоумием или отсутствием логического мышления.

    Это никак нельзя назвать уязвимостью или багом! Это неправильная логика механизма защиты. Заведомо придуманный и с полным соответствием задумки реализованный продукт.

    Что пытался донести автор, так это то, что действительно некрасиво защищать раздел настройки добавления новых отпечатков обычным пин кодом. Могли бы на этом этапе требовать ввести пароль от AppleID, не так уж и часто нам приходится добавлять новые отпечатки, по крайней мере реже чем перезагружается телефон, а ведь при перезагрузке он требует пароль от AppleID.

    Но неверная идея разработчиков не является багом или уязвимость 🙂

    Баг — это когда конечный продукт исполняет не то, что задумали разработчики.

    Уязвимость — это когда обнаруживается неведомый всем способ обойти известную логику защиты.

    А так зная как оно работает, это будет лишь собственная глупость, наивность или безразличие.

    ИМЕННО ПОЭТОМУ ЗАГОЛОВОК ЖЕЛТУХА, А АВТОР СТАТЬИ ГЛУПЫШКА, КОТОРЫЙ ПЫТАЕТСЯ ВТЮХНУТЬ ОЧЕВИДНУЮ ХРЕНЬ ЗА НЕВЕРОЯТНОЕ ОТКРЫТИЕ.

    Я всё сказал. (отправлено из приложения AppleInsider.ru)

  38. 1

    Вставили мухе в попу соломинку и раздуваем, раздуваем бедняжку до размеров слона. Так, инсайдер?

  39. 0

    У меня Джейл, и даже если дам пароль, в настройки без пальца не зайти.
    Так что Джейл рулит. (отправлено из приложения AppleInsider.ru)

  40. 0

    Ну вы напустили но одно ясно, никакой уязвимости нет! (отправлено из приложения AppleInsider.ru)

  41. 1

    Неа. Не предусмотрен. Но работают все пальцы, которые в памяти. Так что вариант либо порезать все, либо хз.
    Скажем так — пока, Слава Богу, это проблемой не было.

    Хотя и уязвимость эта какая-то весьма сомнительная)) больше повод потрындеть в комментах

  42. 0

    У меня в 3 х банковских клиентах приложение при непосредственной оплате просит пароль и дату действия карты (пароль другой не тот который от входа втелефон). Все что злоумышленник сможет это посмотреть мой остаток на карте. (отправлено из приложения AppleInsider.ru)

  43. 0

    Также в одном из 3 банков при вводе нового платежа просит ввести код из смс подтверждение. (отправлено из приложения AppleInsider.ru)

Авторизуйтесь Чтобы оставить комментарий