alikamanak
June 17th, 2014, 17:05
سيستم اثر انگشت گلكسي 5 هم هك شد!
شاهدي ديگري براي ضعيف بودن بيومتريك
ماهنامه شبکه - ارديبهشت 1393 شماره 156
http://www.shabakeh-mag.com/Data/Articles/Items/2014/5/1008692.jpg
» نويسنده: دن گودين » منبع: آرستكنيكا
حسگر اثرانگشت گوشي گلكسي 5 سامسونگ توسط هكرهاي كلاه سفيد هك شد، بهطوري كه امكان دسترسي بدون محدوديت به حسابهاي كاربري پيپال را فراهم ميكند. اين گوشي كه توسط هكرهاي كلاه سفيد آزمايشگاه تحقيقات امنيتي آلمان (Germany's Security Research Labs) هك شده است، آخرين نمونه از نمايش وجود اشكال و ضعفهاي امنيتي در سيستمهاي بيومتريك مانند اثرانگشت، اسكن عنبيه چشم و خصوصيات ديگر فيزيكي مرتبط با انسان به شمار میرود كه براي احرازهويت در سيستمهاي كامپيوتري استفاده ميشوند. در حالي كه طرفداران سيستمهاي بيومتريك در حال ترويج و جايگزيني آن با رمزعبور هستند، اطلاعات روي اين سيستمها بهراحتي و در هر زمان ميتواند درون يك كافيشاپ، رستوران، اتوبوس و مكانهاي عمومي ديگر به سرقت برود و مورد سوءاستفاده قرار گيرد. در جديدترين نمونه اين اتفاقات قبل از هك گوشي گلكسي 5، هفت ماه پيش هكرهاي كلاه سفيد توانستند سيستم اثرانگشت Touch ID روي گوشي آيفون اپل را هك كنند؛ آن هم فقط 48 ساعت بعد از عرضه رسمي اين گوشي در بازار امريكا و اروپا.
بن چلبس، يكي از محققان آزمايشگاه SRL، ميگويد: «ما انتظار داريم كه بتوان با جعل اثرانگشت سيستم امنيتي گوشي جديد سامسونگ را دور زد اما حداقل فايده اين سيستم به چالش كشيدن مجرمان است. سيستم اثرانگشت S5 چيز جديدي ندارد زیرا روي سيستمعامل آندروئيد پيادهسازي شده است و ما قبلاً انواع سيستمهاي اثرانگشت آندروئيدي را در بازار بررسي كرديم.» چلبس از زبان يكي از هكرهاي كلاوه سفيد آزمايشگاه SRL به نام مونيكر دكستر ميگويد سيستم اثرانگشت S5 سامسونگ عملاً يك عقبگرد به شمار میرود زیرا نسبت به سيستم اثرانگشت آيفون ضعيفتر است و هيچ مكانيزم رمزعبوري براي مواجهه با حجم زياد اثرانگشت نامعتبر ندارد. در آيفون بايد بعد از شناسايي اثرانگشت يك رمزعبور هم وارد كنيد اما در S5 چنين مكانيزمي وجود ندارد. همچنين هنگامي كه به دفعات و با تعداد زيادي انگشت به بخش اثرانگشت گوشي گلكسي S5 بزنيد قفل خواهد كرد. اما نگران نباشيد زیرا با رياستارت كردن گوشي دوباره ميتوانيد تعداد زيادي اثرانگشت را آزمايش كنيد بدون اينكه هيچ رمزعبوري از شما براي كار دوباره با گوشي خواسته شود.
موضوع نگرانكنندهتر درباره سيستم اثرانگشت S5 اين است كه اين سيستم بهطور مستقيم با سيستمهاي تراكنشي مالي و بانكي حساسي مانند پيپال در ارتباط است. چلبس ميگويد هنگامي كه بتوان اين سيستم امنيتي را دور زد، دسترسي به حساب كاربري پيپال و انتقال پول يا خريد ساده خواهد بود.
با اين شرايط بايد پرسيد چرا سامسونگ اين سيستم اثرانگشت را طراحي كرده است؟ جواب آن شايد اين باشد كه اين شركت از نمونههاي ديگر ساخته شده موجود در بازار براي آندروئيد تجربهاندوزي نكرده است و نخواسته است آنها را بازبيني و اشكالاتشان را بررسي و برطرف کند.
http://www.shabakeh-mag.com/data/gallery/2014/5/156%20-%20hack%20galaxy%205%20-%2001.jpg
همچنين شايد سامسونگ با عجله اقدام به افزودن سيستم اثرانگشت روي S5 كرده و ديگر به فكر امنيت آن نبوده است. هكرهاي كلاه سفيد SRL با نمايش ويديوی هك شدن اين سيستم، ميگويند حتي پس از خاموش شدن گوشي هم ميتوان با يك اثرانگشت جعلي سيستم را دور زد و با استفاده نامحدود از اثرانگشتهاي جعلي هيچ نيازي به وارد كردن رمزعبور نيست. يعني كاربران ميتوانند نامحدود براي وارد شدن به گوشي تلاش كنند و هيچ چيزي مانع آنها نميشود. اتصال سيستم اثرانگشت به حسابهاي كاربري حساسي مانند پيپال اتفاقاً انگيزه مجرمان را افزايش ميدهد و يك عامل انگيزشي قوي براي آنها خواهد بود كه به سراغ جعل اثرانگشت بروند.
مقامات شركت پيپال در قبال گزارشهاي هكرهاي كلاه سفيد واكنش نشان دادند و در يك بيانيه اعلام كردهاند اتصال حسابهاي كاربري به اثرانگشت دقيقاً براي جلوگيري از هك شدن طراحي شدهاند. در اين بيانيه آمده است: «اسكن باز يك كليد رمزنگاري امن است كه جايگزين رمزهاي عبور متني براي تلفنهاي همراه شده است. ما بهسادگي ميتوانيم يك كليد نامعتبر يا به سرقت رفته را غيرفعال كنيم و كاربر به سرعت يك كليد جديد تعريف كند. پيپال همچنين با استفاده از سيستمهاي امنيتي احرازهويت پيشرفته و ابزارهاي مديريت تهديدات تلاش ميكند از جعل و تقلب كليدها پيش از استفاده و رخ دادن يك اتفاق جلوگيري كند. به هر حال، ممكن است در برخي موارد کمیاب كه در دسترس كاربران معمولي نيست بتوان اين موارد امنيتي را دور زد.»
همانند هك سيستم Touch ID آيفون در سپتامبر گذشته، هكر سيستم اثرانگشت سامسونگ از روشهاي كلاهبرداري با چسبهاي چوبي استفاده كرده است. در اين روش با استفاده از يك ماكت يا قالب و چسب چوب، اثرانگشت را روي آن قلمكاري ميكنند. البته اين روش براي گوشي آيفون عمل نكرده است و هنوز دلايل آن معلوم نيست اما به راحتي ميتواند گوشي سامسونگ را دور بزند. چلبس درباره اينكه آيا افراد معمولي هم ميتوانند سيستم اثرانگشت گوشي گلكسي S5 سامسونگ را در دنياي واقعي هك كنند يا خير توضيح ميدهد: «براي افرادي كه عكسي از اثرانگشت خود روي پايگاههاي اطلاعاتي سراسر جهان داشته باشند يا اينكه بتوانند مانند من اين اثرانگشت را قالبگيري كنند، هك گوشي S5 عملي است. براي ديگران نيز خطر جعل اثرانگشت يا سرقت آن وجود دارد.
به یقین در آينده با تعداد زيادي حمله برعليه سيستم اثرانگشت دستگاههاي مختلف روبهرو خواهيم شد و با توجه به اينكه سيستم امنيتي ضعيفي دارند، شاهد ساختن قالبهاي آمادهاي هستيم كه ميتوان اثرانگشت كاربران را روي آن حك كرد و سيستم اثرانگشت گوشي را دور زد. جعل و سرقت اثرانگشت نيز رواج خواهد يافت. اكنون اين انگيزه براي خرابكاران فراهم شده است.»
http://www.shabakeh-mag.com/data/gallery/2014/5/156%20-%20hack%20galaxy%205%20-%2002.jpg
وي ميگويد شركت سامسونگ ميتوانست سيستم امنيتي بسيار امنتري را پيادهسازي كند و مهندسان طراح اين شركت سياستهاي سختگيرانهتر و اقدامات بازدارندهاي عليه جعل و سرقت اثرانگشت اعمال كنند. از جمله اين سياستها قفل كردن گوشي بعد از چند بار تلاش ناموفق در شناسايي اثرانگشت و نياز به رمزعبور يا پينكد براي بازگشايي تلفن همراه است.
چلبس انتقاد ديگري هم از سازندگان سيستمهاي اثرانگشت روي گوشيهایی مانند اپل، سامسونگ، موتورولا و ديگر شركتها دارد. چرا مكانيزمي براي تغيير اطلاعات كاربر بعد از نشت اطلاعات و استفاده از روشهاي ديگر احرازهويت كاربر وجود ندارد؟ هكرها ميتوانند با يك بار سرقت اثرانگشت تا ابد از آن استفاده كنند: «رمزعبور ميتواند مخفي نگه داشته شود يا در هر زمان اگر به سرقت رفت اقدام به تغيير آن داد. اما اثرانگشت اينگونه نيست و كاربر مجبور است هميشه براي باز كردن قفل گوشي از انگشت خود استفاده كند كه تغييرناپذير است.
كاربران بايد آگاه باشند كه سيستم اثرانگشت به تنهايي نميتواند امنيتي كافي فراهم كند و با شبيهسازي اثرانگشت يا عكس گرفتن از آن ميتوان به در اين سيستم تقلب كرد و سيستم احرازهويت گوشي را فريب داد.» آزمايشگاه SRL يكي از چندين مركز تحقيقات امنيتي است كه درباره هك شدن ساده سيستم اثرانگشت گوشي S5 سامسونگ اطلاعرساني كرد. با توجه به بازار تلفن همراه كه سامسونگ در رتبه نخست فروش آن قرار دارد، به زودي شاهد خبرهاي هك گوشيهاي S5 باشيم.
منبع: shabakeh-mag.com
شاهدي ديگري براي ضعيف بودن بيومتريك
ماهنامه شبکه - ارديبهشت 1393 شماره 156
http://www.shabakeh-mag.com/Data/Articles/Items/2014/5/1008692.jpg
» نويسنده: دن گودين » منبع: آرستكنيكا
حسگر اثرانگشت گوشي گلكسي 5 سامسونگ توسط هكرهاي كلاه سفيد هك شد، بهطوري كه امكان دسترسي بدون محدوديت به حسابهاي كاربري پيپال را فراهم ميكند. اين گوشي كه توسط هكرهاي كلاه سفيد آزمايشگاه تحقيقات امنيتي آلمان (Germany's Security Research Labs) هك شده است، آخرين نمونه از نمايش وجود اشكال و ضعفهاي امنيتي در سيستمهاي بيومتريك مانند اثرانگشت، اسكن عنبيه چشم و خصوصيات ديگر فيزيكي مرتبط با انسان به شمار میرود كه براي احرازهويت در سيستمهاي كامپيوتري استفاده ميشوند. در حالي كه طرفداران سيستمهاي بيومتريك در حال ترويج و جايگزيني آن با رمزعبور هستند، اطلاعات روي اين سيستمها بهراحتي و در هر زمان ميتواند درون يك كافيشاپ، رستوران، اتوبوس و مكانهاي عمومي ديگر به سرقت برود و مورد سوءاستفاده قرار گيرد. در جديدترين نمونه اين اتفاقات قبل از هك گوشي گلكسي 5، هفت ماه پيش هكرهاي كلاه سفيد توانستند سيستم اثرانگشت Touch ID روي گوشي آيفون اپل را هك كنند؛ آن هم فقط 48 ساعت بعد از عرضه رسمي اين گوشي در بازار امريكا و اروپا.
بن چلبس، يكي از محققان آزمايشگاه SRL، ميگويد: «ما انتظار داريم كه بتوان با جعل اثرانگشت سيستم امنيتي گوشي جديد سامسونگ را دور زد اما حداقل فايده اين سيستم به چالش كشيدن مجرمان است. سيستم اثرانگشت S5 چيز جديدي ندارد زیرا روي سيستمعامل آندروئيد پيادهسازي شده است و ما قبلاً انواع سيستمهاي اثرانگشت آندروئيدي را در بازار بررسي كرديم.» چلبس از زبان يكي از هكرهاي كلاوه سفيد آزمايشگاه SRL به نام مونيكر دكستر ميگويد سيستم اثرانگشت S5 سامسونگ عملاً يك عقبگرد به شمار میرود زیرا نسبت به سيستم اثرانگشت آيفون ضعيفتر است و هيچ مكانيزم رمزعبوري براي مواجهه با حجم زياد اثرانگشت نامعتبر ندارد. در آيفون بايد بعد از شناسايي اثرانگشت يك رمزعبور هم وارد كنيد اما در S5 چنين مكانيزمي وجود ندارد. همچنين هنگامي كه به دفعات و با تعداد زيادي انگشت به بخش اثرانگشت گوشي گلكسي S5 بزنيد قفل خواهد كرد. اما نگران نباشيد زیرا با رياستارت كردن گوشي دوباره ميتوانيد تعداد زيادي اثرانگشت را آزمايش كنيد بدون اينكه هيچ رمزعبوري از شما براي كار دوباره با گوشي خواسته شود.
موضوع نگرانكنندهتر درباره سيستم اثرانگشت S5 اين است كه اين سيستم بهطور مستقيم با سيستمهاي تراكنشي مالي و بانكي حساسي مانند پيپال در ارتباط است. چلبس ميگويد هنگامي كه بتوان اين سيستم امنيتي را دور زد، دسترسي به حساب كاربري پيپال و انتقال پول يا خريد ساده خواهد بود.
با اين شرايط بايد پرسيد چرا سامسونگ اين سيستم اثرانگشت را طراحي كرده است؟ جواب آن شايد اين باشد كه اين شركت از نمونههاي ديگر ساخته شده موجود در بازار براي آندروئيد تجربهاندوزي نكرده است و نخواسته است آنها را بازبيني و اشكالاتشان را بررسي و برطرف کند.
http://www.shabakeh-mag.com/data/gallery/2014/5/156%20-%20hack%20galaxy%205%20-%2001.jpg
همچنين شايد سامسونگ با عجله اقدام به افزودن سيستم اثرانگشت روي S5 كرده و ديگر به فكر امنيت آن نبوده است. هكرهاي كلاه سفيد SRL با نمايش ويديوی هك شدن اين سيستم، ميگويند حتي پس از خاموش شدن گوشي هم ميتوان با يك اثرانگشت جعلي سيستم را دور زد و با استفاده نامحدود از اثرانگشتهاي جعلي هيچ نيازي به وارد كردن رمزعبور نيست. يعني كاربران ميتوانند نامحدود براي وارد شدن به گوشي تلاش كنند و هيچ چيزي مانع آنها نميشود. اتصال سيستم اثرانگشت به حسابهاي كاربري حساسي مانند پيپال اتفاقاً انگيزه مجرمان را افزايش ميدهد و يك عامل انگيزشي قوي براي آنها خواهد بود كه به سراغ جعل اثرانگشت بروند.
مقامات شركت پيپال در قبال گزارشهاي هكرهاي كلاه سفيد واكنش نشان دادند و در يك بيانيه اعلام كردهاند اتصال حسابهاي كاربري به اثرانگشت دقيقاً براي جلوگيري از هك شدن طراحي شدهاند. در اين بيانيه آمده است: «اسكن باز يك كليد رمزنگاري امن است كه جايگزين رمزهاي عبور متني براي تلفنهاي همراه شده است. ما بهسادگي ميتوانيم يك كليد نامعتبر يا به سرقت رفته را غيرفعال كنيم و كاربر به سرعت يك كليد جديد تعريف كند. پيپال همچنين با استفاده از سيستمهاي امنيتي احرازهويت پيشرفته و ابزارهاي مديريت تهديدات تلاش ميكند از جعل و تقلب كليدها پيش از استفاده و رخ دادن يك اتفاق جلوگيري كند. به هر حال، ممكن است در برخي موارد کمیاب كه در دسترس كاربران معمولي نيست بتوان اين موارد امنيتي را دور زد.»
همانند هك سيستم Touch ID آيفون در سپتامبر گذشته، هكر سيستم اثرانگشت سامسونگ از روشهاي كلاهبرداري با چسبهاي چوبي استفاده كرده است. در اين روش با استفاده از يك ماكت يا قالب و چسب چوب، اثرانگشت را روي آن قلمكاري ميكنند. البته اين روش براي گوشي آيفون عمل نكرده است و هنوز دلايل آن معلوم نيست اما به راحتي ميتواند گوشي سامسونگ را دور بزند. چلبس درباره اينكه آيا افراد معمولي هم ميتوانند سيستم اثرانگشت گوشي گلكسي S5 سامسونگ را در دنياي واقعي هك كنند يا خير توضيح ميدهد: «براي افرادي كه عكسي از اثرانگشت خود روي پايگاههاي اطلاعاتي سراسر جهان داشته باشند يا اينكه بتوانند مانند من اين اثرانگشت را قالبگيري كنند، هك گوشي S5 عملي است. براي ديگران نيز خطر جعل اثرانگشت يا سرقت آن وجود دارد.
به یقین در آينده با تعداد زيادي حمله برعليه سيستم اثرانگشت دستگاههاي مختلف روبهرو خواهيم شد و با توجه به اينكه سيستم امنيتي ضعيفي دارند، شاهد ساختن قالبهاي آمادهاي هستيم كه ميتوان اثرانگشت كاربران را روي آن حك كرد و سيستم اثرانگشت گوشي را دور زد. جعل و سرقت اثرانگشت نيز رواج خواهد يافت. اكنون اين انگيزه براي خرابكاران فراهم شده است.»
http://www.shabakeh-mag.com/data/gallery/2014/5/156%20-%20hack%20galaxy%205%20-%2002.jpg
وي ميگويد شركت سامسونگ ميتوانست سيستم امنيتي بسيار امنتري را پيادهسازي كند و مهندسان طراح اين شركت سياستهاي سختگيرانهتر و اقدامات بازدارندهاي عليه جعل و سرقت اثرانگشت اعمال كنند. از جمله اين سياستها قفل كردن گوشي بعد از چند بار تلاش ناموفق در شناسايي اثرانگشت و نياز به رمزعبور يا پينكد براي بازگشايي تلفن همراه است.
چلبس انتقاد ديگري هم از سازندگان سيستمهاي اثرانگشت روي گوشيهایی مانند اپل، سامسونگ، موتورولا و ديگر شركتها دارد. چرا مكانيزمي براي تغيير اطلاعات كاربر بعد از نشت اطلاعات و استفاده از روشهاي ديگر احرازهويت كاربر وجود ندارد؟ هكرها ميتوانند با يك بار سرقت اثرانگشت تا ابد از آن استفاده كنند: «رمزعبور ميتواند مخفي نگه داشته شود يا در هر زمان اگر به سرقت رفت اقدام به تغيير آن داد. اما اثرانگشت اينگونه نيست و كاربر مجبور است هميشه براي باز كردن قفل گوشي از انگشت خود استفاده كند كه تغييرناپذير است.
كاربران بايد آگاه باشند كه سيستم اثرانگشت به تنهايي نميتواند امنيتي كافي فراهم كند و با شبيهسازي اثرانگشت يا عكس گرفتن از آن ميتوان به در اين سيستم تقلب كرد و سيستم احرازهويت گوشي را فريب داد.» آزمايشگاه SRL يكي از چندين مركز تحقيقات امنيتي است كه درباره هك شدن ساده سيستم اثرانگشت گوشي S5 سامسونگ اطلاعرساني كرد. با توجه به بازار تلفن همراه كه سامسونگ در رتبه نخست فروش آن قرار دارد، به زودي شاهد خبرهاي هك گوشيهاي S5 باشيم.
منبع: shabakeh-mag.com