سیستم اثر انگشت گلکسی 5 هم هک شد!

---

شاهدی دیگری برای ضعیف بودن بیومتریک

---

حسگر اثرانگشت گوشی گلکسی 5 سامسونگ توسط هکرهای کلاه سفید هک شد، به‌طوری که امکان دسترسی بدون محدودیت به حساب‌های کاربری پی‌پال را فراهم می‌کند. این گوشی که توسط هکرهای کلاه سفید آزمایشگاه تحقیقات امنیتی آلمان (Germany's Security Research Labs) هک شده است، آخرین نمونه از نمایش وجود اشکال و ضعف‌های امنیتی در سیستم‌های بیومتریک مانند اثرانگشت، اسکن عنبیه چشم و خصوصیات دیگر فیزیکی مرتبط با انسان به شمار می‌رود که برای احرازهویت در سیستم‌های کامپیوتری استفاده می‌شوند. در حالی که طرفداران سیستم‌های بیومتریک در حال ترویج و جایگزینی آن با رمزعبور هستند، اطلاعات روی این سیستم‌ها به‌راحتی و در هر زمان می‌تواند درون یک کافی‌شاپ، رستوران، اتوبوس و مکان‌های عمومی دیگر به سرقت برود و مورد سوءاستفاده قرار گیرد. در جدیدترین نمونه این اتفاقات قبل از هک گوشی گلکسی 5، هفت ماه پیش هکرهای کلاه‌ سفید توانستند سیستم اثرانگشت Touch ID روی گوشی آی‌فون اپل را هک کنند؛ آن هم فقط 48 ساعت بعد از عرضه رسمی این گوشی در بازار امریکا و اروپا. 
بن چلبس، یکی از محققان آزمایشگاه SRL، می‌گوید: «ما انتظار داریم که بتوان با جعل اثرانگشت سیستم امنیتی گوشی جدید سامسونگ را دور زد اما حداقل فایده این سیستم به چالش کشیدن مجرمان است. سیستم اثرانگشت S5 چیز جدیدی ندارد زیرا روی سیستم‌عامل آندروئید پیاده‌سازی شده است و ما قبلاً انواع سیستم‌های اثرانگشت آندروئیدی را در بازار بررسی کردیم.» چلبس از زبان یکی از هکرهای کلاوه سفید آزمایشگاه SRL به نام مونیکر دکستر می‌گوید سیستم اثرانگشت S5 سامسونگ عملاً یک عقب‌گرد به شمار می‌رود زیرا نسبت به سیستم اثرانگشت آی‌فون ضعیف‌تر است و هیچ مکانیزم رمزعبوری برای مواجهه با حجم زیاد اثرانگشت نامعتبر ندارد. در آی‌فون باید بعد از شناسایی اثرانگشت یک رمزعبور هم وارد کنید اما در S5 چنین مکانیزمی وجود ندارد. همچنین هنگامی که به دفعات و با تعداد زیادی انگشت به بخش اثرانگشت گوشی گلکسی S5 بزنید قفل خواهد کرد. اما نگران نباشید زیرا با ری‌استارت کردن گوشی دوباره می‌توانید تعداد زیادی اثرانگشت را آزمایش کنید بدون این‌که هیچ رمزعبوری از شما برای کار دوباره با گوشی خواسته شود. 
موضوع نگران‌کننده‌تر درباره سیستم اثرانگشت S5 این است که این سیستم به‌طور مستقیم با سیستم‌های تراکنشی مالی و بانکی حساسی مانند پی‌پال در ارتباط است. چلبس می‌گوید هنگامی که بتوان این سیستم امنیتی را دور زد، دسترسی به حساب کاربری پی‌پال و انتقال پول یا خرید ساده خواهد بود. 
با این شرایط باید پرسید چرا سامسونگ این سیستم اثرانگشت را طراحی کرده است؟ جواب آن شاید این باشد که این شرکت از نمونه‌های دیگر ساخته شده موجود در بازار برای آندروئید تجربه‌اندوزی نکرده است و نخواسته است آن‌ها را بازبینی و اشکالاتشان را بررسی و  برطرف کند.

همچنین شاید سامسونگ با عجله اقدام به افزودن سیستم اثرانگشت روی S5 کرده و دیگر به فکر امنیت آن نبوده است. هکرهای کلاه سفید SRL با نمایش ویدیوی هک شدن این سیستم، می‌گویند حتی پس از خاموش شدن گوشی هم می‌توان با یک اثرانگشت جعلی سیستم را دور زد و با استفاده نامحدود از اثرانگشت‌های جعلی هیچ نیازی به وارد کردن رمزعبور نیست. یعنی کاربران می‌توانند نامحدود برای وارد شدن به گوشی تلاش کنند و هیچ چیزی مانع آن‌ها نمی‌شود. اتصال سیستم اثرانگشت به حساب‌های کاربری حساسی مانند پی‌پال اتفاقاً انگیزه مجرمان را افزایش می‌دهد و یک عامل انگیزشی قوی برای آن‌ها خواهد بود که به سراغ جعل اثرانگشت بروند. 
مقامات شرکت پی‌پال در قبال گزارش‌های هکرهای کلاه سفید واکنش نشان دادند و در یک بیانیه اعلام کرده‌اند اتصال حساب‌های کاربری به اثرانگشت دقیقاً برای جلوگیری از هک شدن طراحی شده‌اند. در این بیانیه آمده است: «اسکن باز یک کلید رمزنگاری امن است که جایگزین رمزهای عبور متنی برای تلفن‌های همراه شده است. ما به‌سادگی می‌توانیم یک کلید نامعتبر یا به سرقت رفته را غیرفعال کنیم و کاربر به سرعت یک کلید جدید تعریف کند. پی‌پال همچنین با استفاده از سیستم‌های امنیتی احرازهویت پیشرفته و ابزارهای مدیریت تهدیدات تلاش می‌کند از جعل و تقلب کلیدها پیش از استفاده و رخ دادن یک اتفاق جلوگیری کند. به هر حال، ممکن است در برخی موارد کم‌یاب که در دسترس کاربران معمولی نیست بتوان این موارد امنیتی را دور زد.» 
همانند هک سیستم Touch ID آی‌فون در سپتامبر گذشته، هکر سیستم اثرانگشت سامسونگ از روش‌های کلاه‌برداری با چسب‌های چوبی استفاده کرده است. در این روش با استفاده از یک ماکت یا قالب و چسب چوب، اثرانگشت را روی آن قلم‌کاری می‌کنند. البته این روش برای گوشی آی‌فون عمل نکرده است و هنوز دلایل آن معلوم نیست اما به راحتی می‌تواند گوشی سامسونگ را دور بزند. چلبس درباره این‌که آیا افراد معمولی هم می‌توانند سیستم اثرانگشت گوشی گلکسی S5 سامسونگ را در دنیای واقعی هک کنند یا خیر توضیح می‌دهد: «برای افرادی که عکسی از اثرانگشت خود روی پایگاه‌های اطلاعاتی سراسر جهان داشته باشند یا این‌که بتوانند مانند من این اثرانگشت را قالب‌گیری کنند، هک گوشی S5 عملی است. برای دیگران نیز خطر جعل اثرانگشت یا سرقت آن وجود دارد. 
به یقین در آینده با تعداد زیادی حمله بر‌علیه سیستم اثرانگشت دستگاه‌های مختلف روبه‌رو خواهیم شد و با توجه به این‌که سیستم امنیتی ضعیفی دارند، شاهد ساختن قالب‌های آماده‌ای هستیم که می‌توان اثرانگشت کاربران را روی آن حک کرد و سیستم اثرانگشت گوشی را دور زد. جعل و سرقت اثرانگشت نیز رواج خواهد یافت. اکنون این انگیزه برای خراب‌کاران فراهم شده است.»

وی می‌گوید شرکت سامسونگ می‌توانست سیستم امنیتی بسیار امن‌تری را پیاده‌سازی کند و مهندسان طراح این شرکت سیاست‌های سخت‌گیرانه‌تر و اقدامات بازدارنده‌ای علیه جعل و سرقت اثرانگشت اعمال کنند. از جمله این سیاست‌ها قفل کردن گوشی بعد از چند بار تلاش ناموفق در شناسایی اثرانگشت و نیاز به رمزعبور یا پین‌کد برای بازگشایی تلفن همراه است. 
چلبس انتقاد دیگری هم از سازندگان سیستم‌های اثرانگشت روی گوشی‌هایی مانند اپل، سامسونگ، موتورولا و دیگر شرکت‌ها دارد. چرا مکانیزمی برای تغییر اطلاعات کاربر بعد از نشت اطلاعات و استفاده از روش‌های دیگر احرازهویت کاربر وجود ندارد؟ هکرها می‌توانند با یک بار سرقت اثرانگشت تا ابد از آن استفاده کنند: «رمزعبور می‌تواند مخفی نگه داشته شود یا در هر زمان اگر به سرقت رفت اقدام به تغییر آن داد. اما اثرانگشت این‌گونه نیست و کاربر مجبور است همیشه برای باز کردن قفل گوشی از انگشت خود استفاده کند که تغییرناپذیر است. 
کاربران باید آگاه باشند که سیستم اثرانگشت به تنهایی نمی‌تواند امنیتی کافی فراهم کند و با شبیه‌سازی اثرانگشت یا عکس گرفتن از آن می‌توان به در این سیستم تقلب کرد و سیستم احرازهویت گوشی را فریب داد.» آزمایشگاه SRL یکی از چندین مرکز تحقیقات امنیتی است که درباره هک شدن ساده سیستم اثرانگشت گوشی S5 سامسونگ اطلاع‌رسانی کرد. با توجه به بازار تلفن همراه که سامسونگ در رتبه نخست فروش آن قرار دارد، به زودی شاهد خبرهای هک گوشی‌های S5 باشیم.