Egy brit újságíró arra volt kíváncsi, mekkora veszélnyek teszi ki magát, aki biometrikus azonosítást használ. Meglepő eredményre jutott.
Egyre több ember telefonján van olyan applikáció, mellyel széles körben tud banki ügyeket intézni. Tavaly ősszel az OTP Bank Smartbank nevű alkalmazásának 200 ezer felhasználója volt, a CIB Bank ügyfelei közül 61 ezren, a Budapest Banknál pedig 12 ezren használtak mobilbankot.
Azóta egyébként valószínű, hogy jelentősen növekedett a felhasználók száma, ráadásul több hazai bank is kijött új vagy megújított mobilbanki applikációkkal. A mobilbanki applikációkkal kapcsolatban nagyon fontos kérdés a biztonság, konkrétan, hogy ne kerülhessenek illetéktelen kezekbe banki adataink, továbbá, hogy senki ne tudjon nekünk kárt okozni (például a saját számlájára pénzt utalni) akkor sem, ha elveszítjük a telefonunkat.
2017-ig jellemzően egy korábban megadott titkos PIN-kód segítségével lehetett belépni a banki alkalmazásokba, ám ez megváltozott. Sok nemzetközi és hazai pénzintézet is kihasználja azt, hogy egyre több telefonon van ujjlenyomat-olvasó, aminek segítségével kikerülhető a PIN-kód használata, így jelentősen kényelmesebbé válik az applikációba való belépés, hisz az előre egyeztetett kóddal ellentétben, az ujjlenyomatunkat nem tudjuk elfelejteni.
Az ujjlenyomat alapú azonosításon túl, léteznek már olyan biztonsági rendszerek is, melyek a retinánk, a hangunk, az arcunk vagy az ereink elhelyezkedése alapján azonosítanak minket, és ezekkel a technológiai újdonságokkal kapcsolatban sem az az igaz kérdés, hogy megjelennek-e majd Magyarországon, hanem inkább az, hogy mikor.
Ezeket az újfajta azonosítási módszereket biometrikus azonosításnak nevezik, és az egyedi fizikai tulajdonságaink alapján azonosítanak minket, szemben mondjuk a titkos kóddal, ami ugyanezt a kód ismerete, tehát tudás alapján tette meg.
Egy brit újságíró úgy döntött, hogy felkeres egy német laboratóriumot, ahol professzionális hackerek próbálhatták meg feltörni az ujjlenyomat-azonosítóval védett telefonját illetve azokat az applikációit, amelyeket más, szintén biometrikus azonosítási rendszer védett.
Az eredmény sajnos ijesztő lett. Az összes, általuk tesztelt azonosítási módszert sikeresen feltörték.
Ujjlenyomat
Ahogy megfogunk dolgokat, mindenhol otthagyjuk az ujjlenyomatunkat. A hackerek az újságíró telefonján fényképeztek le egyet, majd nyilvános forrásból beszerezhető, összesen 45 fontba (kb. 15 ezer forintba) kerülő eszközök segítségével létrehoztak egy olyan műanyag lapocskát, ami szinte tökéletesen tartalmazta az újságíró ujjlenyomatát. Nem is maradt el várt eredmény, a hackerek az újságíró telefonjába is be tudtak lépni, továbbá az összes olyan applikációba, mely az ujjlenyomata alapján azonosította a számla tulajdonosát.
Az, hogy minden applikációval működött az álujjlenyomat nem meglepő, a banki applikációk ugyanis a telefon szoftverének gyártójával kommunikálnak az ellenőrzés érdekében, tehát az azonosítást tulajdonképpen nem is ők végzik el.
Mivel több, általuk tesztelt applikáció megengedte, hogy új kedvezményezettnek utaljanak pénzt, ezért a próba kedvéért a tesztet végző etikus hacker el is utalt 1 pennyt a saját számlájára.
Arcfelismerés
Az arcfelismeréses azonosítás is elbukott az újságíró és a laboratórium közös tesztjén. A hackerek letöltöttek egy képet az újságíró Twitter-fiókjáról, és azt kinyomtatva a kamera elé tartották akkor, amikor egy banki applikáció arra kérte a felhasználót, hogy azonosítsa magát az arcával. Mikor az applikáció megkérte a felhasználót (tulajdonképpen a fotót), hogy pislogjon egyet, akkor egy pillanatikg kitakarták a képen lévő szemeket egy tollal, és az applikáció már meg is nyílt.
Megjegyzik ugyanakkor, hogy vannak már fejlettebb rendszerek, melyek két kamera segítségével három dimenzióban azonosítják az arcot, ezek esetében a tollas trükk elhasalna.
Hangfelismerés
A kinyomtatott képpel már átvert banki applikáció a hangfelismerési teszten is elbukott. Mivel hangazonosításkor ugyanazt a mondatot kérte minden alkalommal, ezért könnyen előfordulhat a felhasználókkal, hogy néhány méterről felveszik egy telefonra, mikor elmondják azt. Így tettek tehát a laboratóriumi hackerek is, majd amikor belépésnél lejátszották a felvételt az applikációnak, az minden további nélkül átengedte őket.
Nincs minden veszve
A teszteket elvégző berlini Security Research Labs (Biztonsági Kutatási Labor) munkatársa, Ben Schlabs azt mondta, hogy félreértés, hogy a biometrikus azonosítás csak biztonságosabbá teszi a készülékeinket, hiszen a hackerek számára újabb lehetőséget is kínálnak arra, hogy feltörjék azokat.
Mindemellett azt is hozzátette, hogy nagyon valószínűtlen, hogy bűnőzők azzal töltenék az idejüket, hogy retinákat, hangmintákat vagy ujjlenyomatokat klónoznának, vagy, hogy ehhez hasonló támadásokat hajtsanak végre tömegesen. Ehhez ugyanis mély tudásra és szakértelemre van szükség.
Volt egyébként javaslata is arra, hogy a biometrikus azonosítás segítségével, hogyan lehetne biztonságosabbá tenni az egyes applikációkat. Ehhez arra lenne szükség, hogy azt együtt alkalmazzák a régi, kód alapú azonosítással, persze akkor meg pont a kényelmi előnye veszne el az új technológia kizárólagos használatának.
pénzcentrum
|
Kezdőlap