Как взломать любое приложение с доступом по Touch ID на iPhone [видео]

Разработчики многих приложений для iOS поспешили воспользоваться преимуществами сканера отпечатков Touch ID на iPhone и iPad для удобства своих пользователей. Несмотря на то, что недостатки технологии уже много лет демонстрируются в кино из Голливуда. Можно ли сегодня полагаться только на биометрическую защиту?

touch-ID-new-2

До появления Touch ID приложения были защищены только собственным кодом, что было существенно безопаснее. Теперь, когда есть биометрический модуль, пользователи могут набирать десятки и сотни кодов от приложений, но они абсолютно не прибавляют в защите – это пустая трата времени и иллюзия безопасности.

Между тем, разглашение личного пароля от смартфона стало сегодня слишком обычным делом. Люди доверяют свои пароли семье, друзьям и зачастую даже просто случайным прохожим. Это гораздо удобнее, чем набирать пароль каждый раз, передавая телефон из рук в руки. Попробуйте вспомнить, было ли такое, что вы или вам задавали вопрос «Какой у тебя пароль?». Или бывает ли так, что вы набираете пароль под глазом видеокамеры. В этот момент удобство отодвигает безопасность далеко на задний план.

Специалисты лаборатории информационной безопасности «Кадмус» протестировали приложения, которые считаются самыми защищенными, то есть финансовые, банковские, для доступа к удаленным устройствам и компьютерам, интернет-магазины, хранители паролей, записные книжки, таск-менеджеры, облачные хранилища и разные другие. Они пришли к выводу, что все программы являются уязвимыми, так как для доступа к ним достаточно в настройках iPhone и iPad добавить еще один отпечаток пальца. После этого, злоумышленник может войти в любое из этих приложений.

Специалисты рекомендуют пользователям приложений с Touch ID:

  • всегда использовать пароль на смартфоне (усиленный, если вы видите в этом необходимость);
  • отключать Touch ID в настройках важных приложений, если такая возможность предусмотрена;
  • называть отпечатки понятными именами, включая в название имя владельца отпечатка и какой палец какой руки. Так можно проверить подмену отпечатка в будущем;
  • не набирать пароль, когда кто-то видит экран телефона;
  • не сообщать пароль тем, кому вы не доверяете на 100%;
  • не попадать в поле действия видеокамер в момент набора пароля;
  • в случае потери телефона незамедлительно блокировать его через iCloud.

После обращения специалистов к разработчикам «Сбербанк Онлайн», компания изменила алгоритм входа в банковское приложение, чтобы гарантировать защиту данных пользователей. Клиентам банка достаточно обновить приложение на iPhone с функцией Touch ID, чтобы включилась дополнительная защита.

Источник: MacDigger.ru


20 комментариев

  • Вот и брешь в яблочке...
    • брешей дофига, но данная "брешь" галимая ересь горе-безопасников у которых нету ума на серьезные бреши и они начали фантазировать
  • ага, конечно... типа набирать код безопаснее, чем приложить палец?
  • Что за хрень здесь написана???
  • Не-не-не, пароль имеет более высокий приоритет безопасности. Если несколько раз неверный палец, то вылезет ввод пароля. Так что это не уязвимость телефона, а максимум тупость пользователя, если он раздаёт все подряд свой пароль
  • Очередная порция бреда от МД
  • "Они пришли к выводу, что все программы являются уязвимыми, так как для доступа к ним достаточно в настройках iPhone и iPad добавить еще один отпечаток пальца." вы там все вообще с катушек слетели и ничего не фильтруете?????? чтобы добавить еще один отпечаток нужно ввести пароль!!! это тоже самое, как дать вору ключи чтобы он сделал дубликат. вменяемый человек это будет делать????
    • Да чё ты тупой-то такой! Подсмотрел как чел вводит пароль (допустим не сработал touchid). Разблокируешь этим паролем телефон - настройки touchid - далее вводишь тот же подсмотренный пароль и добавляешь отпечаток. Потом приложение банкинга уже разблокируешь своим отпечатком, а там если стоит даже смс защита на операции, то как правило смс приходит на тотже телефон. Проделай все это со своим телефоном зная пароль добавь отпечаток еще одного своего пальца. В сбере не дает войти отпечатком при добавлении нового, нужно ввести пароль. А ВТБ пожалуйста, пользуйся..:(
    • что ты несешь, имелось ввиду без пароля и touch id телефон
  • Короче фишка работает, только если у тебя отключен пароль на айфоне, то есть нет блокировки на айфоне, а в приложении стоит пароль, тогда можно зайти в настройках в "touch id и код-пароль" без ввода пароля(т.к. он отключен), включить разблокировку айфон, сделать отпечаток свой и потом зайти в приложение.
    • Она работает так: Я знаю пароль телефона у коллеги. Я беру её телефон захожу в настройки и добавляю свой палец в отпечатки. Далее: каким бы паролем не было защищено у неё приложение сбербанк, я открою его тупо пальцем уже.
    • Только МэДэ как обычно тупанули или просто для хайпа, если пароль отключен на телефоне, то в приложении вход только по паролю, ну ни как не по тач айди.
    • Если бы у вас был iPhone или iPad с TouchID, вы бы знали, что без пароля его невозможно настроить.
  • В целом все тему, я даю свой телефон к кому то будучи уверенным что мои приложения которые открываются с помощью отпечатка под защитой, ( типа сбербанк онлайн), не зная пароль от приложений но зная пароль от телефона добавляет свой отпечаток в настройках и получает доступ к подобным приложениям. Кстати сбербанк онлайн и Apple store требует ввести пароль после добавления нового отпечатка. И это не косяк Apple, а косяк разработчиков приложений.