В приложениях с поддержкой Touch ID обнаружена массовая узявимость

Сейчас многие мессенджеры, банковские и другие приложения позволяют производить авторизацию с помощью сканера отпечатков пальцев Touch ID — это гораздо удобнее, чем по несколько раз вводить пароль. Но безопаснее ли биометрическая защита? Нет ли риска, что кто-то получит доступ к вашей переписке или, что еще хуже, к банковскому счету?

В Apple считают, что все полностью безопасно, но как выяснили в лаборатории «Кадмус», эксперты которой ранее нашли уязвимость в Siri, это вовсе не так. Дело в том, что многие разглашают свой личный пароль от телефона — семье, друзьям, иногда даже тем, кого толком и не знают. В этом случае у злоумышленников развязываются руки: если они знают пароль от устройства (или пароль вовсе не установлен), они могут запросто добавить свой новый отпечаток пальца в систему, а затем использовать его для входа по Touch ID.

Наглядный пример — у вас установлено приложение Telegram с защитой паролем. Пароль отличный от системного, и никто его не знает, а вот системный пароль своей девушке вы сообщили. Она запросто добавит свой отпечаток, а потом откроет Telegram с помощью Touch ID.

Чтобы приложение было защищено, в момент запуска оно должно проверять — не появились ли новые отпечатки с момента последнего входа. Если новые отпечатки есть, то вход должен работать только по паролю приложения. Так работает защита App Store и некоторых других приложений.

Однако таких защищенных программ пока очень мало, поэтому эксперты уже отправили результаты исследования и свои рекомендации разработчикам протестированных приложений. Ответные действия на предоставленные рекомендации уже оперативно предприняты службой информационной безопасности банка «Сбербанк»: алгоритм входа в банковское приложение по отпечатку пальца изменен, чтобы гарантировать защиту данных пользователей.

В качестве благодарности за найденную уязвимость Evernote добавил лабораторию «Кадмус» в «Зал славы», LastPass и еще 12 приложений должны вскоре ее устранить. Тем не менее уязвимых программ пока очень много — счет идет на тысячи.

Пока выход из этой ситуации для пользователя довольно простой: всегда использовать пароль на телефоне, никому его не сообщать, а также отключать Touch ID в настройках важных приложений. И, конечно, использовать разные пароли для входа в программы.