27.12.2015

Безопасность мобильных устройств. Часть 1 – Пароли и биометрическая аутентификация

image

В первой части будет рассказано о защите от неправомерного физического доступа к мобильному устройству. Во второй – об использовании биометрии в приложениях.

Автор: Lee Neely

Введение

Администраторы и конечные пользователи мобильных устройств должны быть более осведомлены о рисках в случае, если злоумышленник получил доступ к их смартфонам. Необходимо позаботиться о защите своего мобильного устройства, чтобы минимизировать эти риски.

В первой части будет рассказано о защите от неправомерного физического доступа к мобильному устройству. Во второй – об использовании биометрии в приложениях.

Зачем нужен сильный пароль

Первые смартфоны в основном использовались в корпоративных целях и, соответственно, были защищены согласно бизнес-стандартам. Уровень доступа к этим устройствам был наравне с уровнем доступа к корпоративным вычислительным системам. Количество приложений и другой персональной информации на мобильных устройствах был несравненно ниже, чем на смартфонах под управлением современных операционных систем (iOS, Android, Windows Mobile и т. д.). Даже если некоторыми устройствами владели обычные пользователи, это не было столь критично как в наши дни. С момента презентации iPhone в 2007 году и Android в 2008 году количество пользователей смартфонов стало увеличиваться по экспоненте, и, как следствие, появилась масса нового контента и приложений. Но теперь появилась другая проблема: нужно побеспокоиться о том, чтобы персональные данные, хранимые на смартфонах, не попали в чужие руки.

Когда в 2008 году появилась уязвимость, связанная с обходом экрана блокировки в iPhone, я обнаружил, что реакция на это событие была довольно вялой. Дальнейшее исследование показало, что, поскольку подавляющее большинство пользователей вообще не пользовалось паролем для разблокировки экрана, новых инцидентов, связанных с обходом экрана блокировки не возникало. В 2014 году опрос, проведенный организацией Consumer Reports, выявил, что хотя 47% обладателей устройств используют пароль, жесты или другие механизмы для блокировки экрана, 77% тех пользователей устанавливают PIN-код из четырех цифр. Более того, в основном владельцы смартфонов не предпринимают никаких дополнительных средств защиты, как, например, удаление всех данных после нескольких попыток неудачного ввода пароля. Исследования показывают, что использование пароля становится все более популярным, но большинство владельцев продолжают устанавливать четырехзначный PIN-код.

Несмотря на то, что пароль – лучше, чем отсутствие экрана блокировки вообще, четырехзначный PIN-код легко обходится при помощи одной из следующих техник:

  • Способ №1 – подсмотреть из-за спины.
    • Крис Кроули (Chris Crowley), инструктор компании SANS, заявил, что может успешно подглядывать пароли, когда находится в одной комнате с владельцем смартфона. Нет ничего невозможного, когда ты обладаешь определенной сноровкой.
  • Способ №2 – поиск наиболее вероятного четырехзначного PIN-кода.
    • Поиск по социальным сетям, телефонным каталогам и другим сетевым ресурсам четырехзначных номеров, имеющим значение для пользователя.
    • Обычно владельцы телефона выбирают пароли, которые легко запомнить: дату рождения, годовщину свадьбы, номер дома или число, состоящее из одних цифр. Более подробная информация о наиболее распространенная PIN-кодах представлена в этой статье.
  • Способ №3 – прямой перебор.
    • Если подключить телефон к iOS-устройству, например, к IP-Box, можно перебрать все четырехсимвольные пароли за 17 часов.

§ Обычно пользователи не конфигурируют устройство так, чтобы информация удалялась после нескольких неудачных попыток ввода пароля. Кроме того, в старых версиях iOS (до версии 8.3) были различные способы обхода удаления информации при 10 неудачных попытках ввода PIN-кода.

    • Если подключить телефон к Android-устройству, например, USB Rubber Ducky (при помощи кабеля USB OTG), можно перебрать все четырехсимвольные пароли за 16 часов.

§ По умолчанию в Android наступает принудительная пауза в 30 секунд после пяти неудачных попыток ввода пароля. В переборщике тоже предусмотрены эти паузы.

Зачем нужна более сильная аутентификация

Поскольку на телефоне хранится много ценной информации (почта, банковские аккаунты, контакты, заметки и учетные записи к другим сервисам), а четырехзначный PIN-код легко подбирается, вопрос об использовании более сильного пароля встает в полный рост.

Однако не только рядовым пользователям, но и администраторам устройств эта идея не всегда по душе. По моему опыту, пользователь скорее перейдет на четырехзначный PIN-код, чем будет несколько раз на дню вводить длинный пароль или использовать другие меры безопасности. И здесь встает вопрос об альтернативных способах аутентификации.

Однажды мой учитель сказал: «Мы нанимаем умнейших людей на планете для решения сложнейших задач. Не становись той проблемой, которую решают эти люди».

Биометрия

В биометрической аутентификации используются различные «истинные» характеристики пользователя: отпечатки пальцев, сетчатки глаза, контуров лица или голоса. Биометрия позволяет снизить необходимость в запоминании и постоянном вводе сложного пароля, что будет по душе и пользователям и администраторам.

В операционной системе Android 4.1 появилась возможность разблокировки смартфона при помощи лица. Но проблема была в том, что фотография лица тоже помогала в разблокировке. Впоследствии появилось обновление, и пользователю нужно было прищурить глаза, чтобы изображение лица отличалось от фотографии. С другой стороны, это нововведение предполагает круглосуточную работу камеры, что может быть не всегда подходящим. Я рекомендую отключить эту опцию.

Еще один популярный способ биометрической аутентификации – на основе отпечатков пальцев. Здесь возможны два способа: нажатие и скольжение пальцем. Нажатие пальцем проще, чем скольжение или ввод пароля, и, к тому же, имеет меньшее количество ложных срабатываний.

Несмотря на то, что биометрическая аутентификация не является решением всех проблем, этот метод избавляет от ввода паролей и, следовательно, более прост и доступен рядовому пользователю.

Биометрическая чувствительность

Вне зависимости от типа биометрической системы, если пользователь не распознан, необходимо ввести пароль. Производители стараются сбалансировать вероятности ложных признаний (False Accept Rate; FAR) и ложных отказов (False Reject Rate; FRR), чтобы злоумышленники чаще отсекались, а законные пользователи реже вводили пароль. Уровень пересечения вероятности ошибок (Crossover Error Rate; CER) – это уровень, при котором FRR = FAR. Иногда этот показатель называется чувствительностью или Equal Error Rate (EER). На рисунке ниже наглядно демонстрируется график зависимости этих показателей от чувствительности устройства. Когда производитель выпускает продукт с хорошим уровнем CER, пользователям нравится это устройство, которое потенциально может стать популярным.

https://blogs.sans.org/pen-testing/files/2015/07/Blog-1.png

Рисунок 1: Зависимость различных показателей от чувствительности устройства

Почему основное внимание будет уделяеться Android/iOS

Согласно данным международной исследовательской и консалтинговой компании International Data Corporation (IDC) в четвертом квартале 2014 года на 96% всех смартфонов были установлены операционные системы Android и iOS. Учитывая подавляющее превосходство относительно других ОС, основное внимание я буду уделять устройствам на базе iOS и Android.

https://blogs.sans.org/pen-testing/files/2015/07/Blog21.png

Рисунок 2: Процентное распределение операционных систем, установленных на мобильных устройствах

Текущее положение дел

В iPhone 5s и Samsung Galaxy S5 предусмотрены средства биометрической аутентификации на базе считывателей отпечатков пальцев. Для обоих устройств некоторые группы, наподобие The Chaos Computer Club (CCC), научились создавать поддельные отпечатки пальцев для разблокировки. Джошуа Райт (Joshua Wright), автор курса «Mobile Device Security and Ethical Hacking», на рисунке ниже иллюстрирует процесс создания поддельных отпечатков для обмана Touch ID. Схожий метод используется против устройств компании Samsung. С появлением iPhone 6 и Samsung Galaxy S6 чувствительность ридеров возросла, и многие методы подделки отпечатков работать не будут. С другой стороны, возрастает процент отказов по легитимным отпечаткам.

https://blogs.sans.org/pen-testing/files/2015/07/Blog31.png

Рисунок 3: Схема обмана Touch ID

Защита биометрической информации

Одна из наиболее важных мер безопасности относительно биометрической аутентификации – защита биометрической информации. На устройствах от Samsung и Apple вместо самих отпечатков в отдельном защищенном месте хранится математическое представление отпечатков. Это защищенное место не синхронизируется ни с облаком, ни с резервными копиями. Важно понимать, что в отличие от паролей, отпечатки нельзя изменить в случае их попадания в руки злоумышленника.

Samsung Fingerprint Scan Data Security

Устройства от компании Samsung для защиты отпечатков используют достоверную среду выполнения (Trusted Execution Environment; TEE). Согласно документации, методология защиты построена следующим образом:

  • Сами отпечатки и биометрические данные нигде не хранятся. После сканирования создается хеш, который затем помещается в достоверную среду выполнения на базе архитектуры ARM.
  • Сканер отпечатков и интерфейс находятся в TEE (Trusted Execution Environment).
  • Доступ к отпечаткам вне TEE получить нельзя.
  • Доступ к аппаратной части сканера вне TEE получить нельзя.
  • Физический доступ к сканеру имеет только TEE.
  • TEE показывает достоверный интерфейс для ввода поверх экрана.
  • Trustlet предоставляет результаты сканирования и, возможно, ключ, созданный после успешного скана, но не информацию о сканировании.

Apple Touch ID Fingerprint Data Security

На iOS-устройствах представления отпечатков хранятся в Secure Enclave. Secure Enclave – это сопроцессор, который самостоятельно загружается, обновляется и имеет зашифрованную память с уникальным ключом, назначаемым во время изготовления. Secure Enclave обеспечивает безопасность хранения внутренней информации, даже в случае, если основное ядро скомпрометировано. Компания Apple предоставляет ограниченные системные средства для приложений, желающих использовать Touch ID для аутентификации, ограничивая доступ механизмам взаимодействия со считывателем отпечатков.

Как биометрия влияет на владельцев устройств

Биометрическая аутентификация напрямую влияет, как с хорошей, так с плохой стороны, на то, как владельцы используют свои устройства и на безопасность конфиденциальной информации.

Несмотря на то, что считыватель отпечатков частично снимает необходимость вводить пароль, все же существует несколько случаев, когда ввод пароля необходим. Ниже представлен перечень ситуаций для устройств Apple Touch ID и Samsung Fingerprint Scanner, требующих ввода пароля:

Ситуация

Apple Touch ID

Samsung Fingerprint Scanner

Перезагрузка/Включение

Пароль необходим всегда

Пароль необходим в случае, если включено шифрование

Устройство не используется более 48 часов

Пароль необходим всегда

Можно пользоваться отпечатком

Пять неудачных попыток ввода отпечатка

Пароль необходим всегда

В Samsung S6 пароль необходим всегда. В более ранних моделях ограничений не было.

Добавление/управление отпечатками

Пароль необходим всегда. Пароль должен быть до внесения отпечатков. Может храниться не более 5 отпечатков.

Можно пользоваться и паролем и отпечатком. Должен быть резервный пароль, состоящий из 6 символов, включая одну цифру. Может храниться не более 4 отпечатков.

Устройство получило удаленную команду блокировки

Пароль необходим всегда.

Необходимо использовать пароль для разблокировки. Обратите внимание, что удаленная команда изменяет экран блокировки, и вместо отпечатка нужно вводить пароль.

Администраторам устройств и рядовым пользователям следует помнить таблицу выше во время разговоров относительно биометрии в сочетании с сильными паролями.

Помимо угроз, связанных с репликацией отпечатков, о которых рассказала группа CCC, использование биометрической аутентификации может вызывать беспокойство у некоторых пользователей относительно безопасности конфиденциальной информации. Например, сотрудникам полиции намного проще «попросить» вас разблокировать устройство при помощи отпечатков, чем выведывать PIN-код.

Если вы используете отпечаток для доступа к Apple Pay, PayPal, или Samsung Pay на вашем мобильном устройстве, потенциальные риски от использования поддельных отпечатков значительно возрастают.

Практические рекомендации

Следует помнить, что создание поддельных отпечатков требует времени, ресурсов и хороших навыков. То есть шансы на то, что злоумышленник или уличный вор доберется до устройства раньше, чем вы сможете удалить всю информацию при помощи удаленной команды, достаточно малы. Кроме того, к устройству, защищенному сильным паролем, получить доступ не так то просто.

Дополнительные меры для повышения уровня безопасности вашего устройства:

Разрешить шифрование на устройствах на базе Android (на iOS-устройствах шифрование включено по умолчанию). Эта мера не позволит злоумышленнику получить конфиденциальную информацию посредством выгрузки NVRAM на другой компьютер.

Кроме того, полезно установить приложение по управлению мобильным устройством: Find My iPhone или Android Device Manager, которое дает возможность удаленного обнаружения, блокировки или удаления информации в случае кражи или других инцидентов.

Настройте устройство так, чтобы после нескольких неудачных попыток ввода пароля, вся информацию удалялась. Администраторам мобильных устройств следует устанавливать достаточно большое количество попыток (в зависимости от длины пароля), чтобы избежать непреднамеренного удаления информации. Вне зависимости от длины пароля, устанавливайте не менее 5 попыток (я рекомендую 10).

Что бы вы ни использовали: пароли, отпечатки или любые другие методы аутентификации, это не освобождает вас от элементарной бдительности. Относитесь к телефону как к бумажнику, в котором лежит крупная сумма денег. Не оставляйте смартфон в легкодоступных местах и старайтесь не раскрывать методов аутентификации.

Заключение

Следуя приведенным выше рекомендациям, вы серьезно усилите безопасность вашего устройства и находящейся там конфиденциальной информации. Скопировать отпечатки пальцев намного сложнее, чем подсмотреть PIN-код, вводимый пользователем.

Повышение уровня безопасности конфиденциальной информации, особенно по мере того, как мы находим новые сферы применения мобильным устройствам, и возрастает количество персональных данных, позволяет нам быть более уверенным относительного того, кто имеет доступ к этой информации. Но здесь встает и другой вопрос: как еще можно использовать защитные механизмы.

Во второй части мы поговорим о том, как работать с биометрией через приложения, рассмотрим механизмы компрометирования биометрической аутентификации и различные способы защиты.