Эксперты обнаружили необычную уязвимость авторизации Touch ID
Эксперты из лаборатории Cadmus обнаружили необычную, и что самое печальное - массовую уязвимость в приложениях с технологией дактилоскопической (биометрической) авторизации Touch ID. Как оказалось, можно обойти защиту приложений и получить к ним полный доступ, даже не зная кодов от них.
Эта уязвимость актуальна, если на вашем телефоне не установлен пароль либо он стал известен кому-то еще. Приложения при этом защищены собственными кодами, которых пользователь или злоумышленник не знают. Но достаточно добавить в базу новый отпечаток пальца, как все приложения немедленно разрешают себя открыть.
Одними из самых чувствительных к этой угрозе программ являются банковские, поскольку они позволяют управлять лицевым счетом.
"Если вы допускаете, что пароль от вашего телефона может быть известен кому-то еще, то лучше отключить возможность авторизации по Touch ID", советуют эксперты Cadmus.
В ином случае придется искать дополнительные способы защитить свой телефон, и соответственно, привязанные банковские карты, персональную информацию и т.д.
Один из таких способов предложили сами авторы найденной уязвимости. Если в системе обнаруживается новый отпечаток пальца, то необходимо принудительно спрашивать код приложения пользователя.
Как это сделать, разработчики продемонстрировали на примере устройств Apple в ролике, выложенном ими на YouTube.
По этому принципу работает защита магазина App Store и некоторых других приложений. Поэтому же принципу разработчики рекомендуют действовать и владельцам пользовательских устройств с биометрической авторизацией.
Безусловно, Touch ID набирает популярность, авторы очень многих приложений встраивают ее для удобства своих пользователей. Однако открыть с ее помощью даже защищенные приложения сможет практически любой человек, если к нему в руки попадет устройство с такой технологией, предупреждают эксперты.