Как настроить на телефоне отпечаток пальца

Количество vs качество

Сегодня Apple ставит датчики Touch ID практически во все устройства (за исключением линейки iPod Touch), в то время как производители смартфонов на Android получили возможность доступа к нужному API только с выходом Android 6.0, под управлением которой сейчас работает порядка 15% устройств. Попробуем разобраться, насколько безопасен дактилоскопический метод аутентификации и имеет ли практический смысл его использование.

Соблюдая исторический порядок, начнем мы, пожалуй, с Apple.

История возникновения

Первые формальные требования по использованию отпечатка пальцев в Android были установлены с выходом системы Marshmallow или Андроида 6.0. После обновления ОС до свежей версии был обновлен также Compatibility Definition Document, сборник инструкций, обязательных для исполнения разработчиками, чтобы получить сертификацию со стороны Google для установки сервисов и правильной работы дактилоскопической аутентификации.

С каждым годом функция улучшалась. По прогнозам экспертов в области мобильных технологии, уже к 2019 году более половины смартфонов на Android получат сканер отпечатка пальцев.Если на заре своего появления защита посредством отпечатка пальцев в Android была реализована на «зачаточном» уровне, то с появлением единой документации и универсального API степень безопасности, предлагаемая Гугл, может считаться максимально соответствующей уровню развития современных технологий.

Сравнение с Touch ID

Три года назад проблемой Apple, уже в те времена начинавшей обращать внимание на безопасность данных, было то, что пользователи в массе своей не желали каким-либо образом защищать собственные устройства. Вводить PIN-код для разблокировки телефона? Это долго и неудобно. Посмотрев на ситуацию, в Apple решили не заставлять людей использовать коды блокировки, а попросту максимально упростить процесс разблокировки.

Touch ID — это уникальный программно-аппаратный комплекс, и слово «уникальный» здесь не несет рекламного оттенка: каждый датчик в процессе производства проходит настройку для работы с конкретным устройством. Помнишь скандал с «ошибкой 53»? Именно эта особенность стала камнем преткновения, который блокировал работу устройств с замененным в кустарных условиях датчиком отпечатков пальцев.

Напрямую сравнить безопасность Apple Touch ID с ситуацией в мире Android не получится: если у Apple устройств единицы, то смартфонов на Android, наоборот, слишком много. В них могут использоваться самые разные датчики, основанные на разнообразных технологиях (от емкостных и оптических до ультразвуковых).

Для разных датчиков подбирают разные технологии обхода. К примеру, для Samsung Galaxy S6 вполне срабатывает финт с разблокированием телефона моделью пальца, напечатанной на 3D-принтере из самого обычного пластика (с Apple Touch ID такой простой трюк не пройдет; для печати нужно будет использовать материал, обладающий особыми свойствами). Некоторые другие устройства легко обманываются распечатанными с высоким разрешением картинками.

А вот сравнение с Nexus Imprint вполне имеет смысл. В Nexus 5X и 6P Google использовал образцово-показательный подход к безопасности. Это и неотключаемое шифрование раздела данных, и грамотная интеграция датчиков отпечатков, да и сами датчики выбраны не абы как.

В устройствах сторонних производителей могут использоваться недостаточно безопасные датчики, могут зиять откровенные дыры в безопасности (несмотря на формальное соответствие требованиям Android Compatibility Definition). Приведем подробную таблицу.

Как настроить отпечаток пальцев на Android?

 Загрузка …

Изначально функция использования дактилоскопического сканера отключена. Для ее активации совершается ряд действий, которые аналогичны для большинства моделей современных телефонов:

• Зайти в настройки.
• Выбрать меню «Экран блокировки».
• Далее перейти во вкладку «Отпечаток пальца».
• Открыть «Управление отпечатками пальцев».
• Предварительно перед тем, как дать возможность добавить новый «слепок», система попросит пользователя ввести ПИН-код, что требуется для обеспечения дополнительной защиты и предотвращает замену ключа безопасности злоумышленниками.
• Далее потребуется выбрать пункт «Добавить отпечаток пальца».
• На экране появится схематичное отображение дактилоскопического рисунка и пояснение, что пользователю потребуется прикладывать палец несколько раз до появления вибрации. Желательно прикладывать подушечку разными частями, чтобы получился полный рисунок.
• После завершения процедуры добавления отпечатка пальца в Android на экране высветится кружок с зеленой галочкой.

После внесения «слепка» можно использовать метод дактилоскопической аутентификации для разблокировки смартфона.

Нам понадобится современный смартфон, оборудованный встроенным дактилоскопическим датчиком. Чтобы настроить его на разблокировку по отпечатку пальца, следует выполнить следующие действия:

• зайти в «Настройки» и выбрать вкладку «Безопасность»;
• нажать пункт «Блокировка экрана»;
• выбрать в качестве способа разблокировки Fingerprint («Отпечаток пальца»);

  

• настроить альтернативный способ разблокировки (на случай сбоя датчика);
• зайти в настройки менеджера отпечатков;
• инициализировать новое сканирование (кнопка Entry или аналогичная);

  

• несколько раз приложить палец к датчику (желательно, меняя угол наклона);
• если все сделано правильно – сканер начнет работать, проверьте;
• в случае необходимости добавьте отпечатки своих близких.

Напоследок хочется отметить, что в случае утери или кражи смартфона никакой способ блокировки экрана не защитит ваши данные, находящиеся на внешней SD карте. Если на ней есть что-то ценное, воспользуйтесь программами шифрования.

Перейдем к исследованию дактилоскопической аутентификации в устройствах под управлением Android. Разобрав очень удачную реализацию от Apple, посмотрим внимательно на состояние дел в лагере конкурентов.

Первые устройства со встроенными дактилоскопическими датчиками стали появляться довольно давно, еще во времена Android 4.4. На сегодняшний день их уже очень много: это Samsung Galaxy S5, S6, S7, Motorola Moto Z, Sony Xperia Z5, LG G5, Huawei Ascend Mate 7 и последующие, Meizu Pro 5 — и это далеко не все.

Вот только не в каждом устройстве датчик отпечатков используется правильным образом. Связано это в первую очередь с тем, что вплоть до версии Android 6.0 в системе не существовало универсального API для дактилоскопической аутентификации. Нет API — нет и формальных требований Compatibility Definition, и, соответственно, нет никакой сертификации со стороны Google.

При полном отсутствии внешнего контроля производители нагородили такое… в страшном сне не приснится. Например, разработчики HTC One Max экстерном сдали экзамен по курсу «Android за 21 день» и реализовали замечательную систему, которая хранит полноценные копии отпечатков пальцев в публично доступном каталоге в несжатом (не говоря уже о шифровании) формате.

Пример не единичный. Samsung Galaxy S5 вышел с Android 4.4 на борту. В скором времени хакерам удалось получить доступ к сканеру отпечатков и успешно обойти защиту.

До выхода шестой версии Android производители успели выпустить массу устройств, к которым безграмотно прикрутили датчики отпечатков. Ломать их даже неинтересно, до того там все уныло. Понятно, что долго терпеть такую ситуацию в Google не могли. Они и не стали.

С выходом Android 6.0 в Google не только разработали собственный API для аутентификации по отпечаткам пальцев, но и обновили Compatibility Definition Document, которому обязаны следовать все производители, желающие сертифицировать свои устройства для установки сервисов Google (это очень важный момент, о нем чуть позже).

Было выпущено сразу два референсных устройства: Nexus 5X и Nexus 6P. В них — и неотключаемое шифрование раздела данных, и правильная реализация датчиков отпечатков, получившая название Nexus Imprint.

Итак, чего же требует Google от производителей для получения сертификата соответствия? В отличие от ситуации с обязательным шифрованием на Android 5.0, на сей раз список требований не допускает двойных толкований. Переведем выдержку из официального документа.

А на самом деле в Android до сих пор есть ряд зияющих дыр в безопасности, позволяющих не просто обходить, а обходить на раз плюнуть все эти отпечатки и пароли. Одна из таких дыр — система Android Smart Lock, с помощью которой можно автоматически разблокировать телефон при совпадении некоторых внешних факторов.

К примеру, многие пользователи разрешают автоматическую разблокировку дома, забывая о том, что точность позиционирования далеко не идеальна и понятие «дом» для телефона будет охватывать 80-метровый радиус. Многие активируют разблокировку доверенным устройством Bluetooth или включают псевдобиометрическую разблокировку по снимку лица (обходится довольно легко демонстрацией видеоролика или трехмерной модели).

Что интересно, никакой необходимости в Smart Lock при наличии работоспособного датчика отпечатков нет: экран в любом случае включается и разблокируется нажатием одной кнопки. Почему в Compatibility Definition нет требования отключать Smart Lock при активном датчике отпечатков? Загадка. Но ты можешь использовать эту систему для разблокирования устройства.

Первым делом, необходимо убедиться в том, что ваше устройство оснащено этим сканером, так как не смотря на его распространенность, многие старые и часть новых устройств им похвастать не могут.

Большинство старых смартфонов без сканера отпечатков пальцев

Как же это сделать? Способов на самом деле несколько.

• Вбитьназвание своего смартфона в любом интернет-поисковике, добавив к запросу слово “характеристики”, и посетить любой предложенный сайт. Зачастую этого достаточно, так как о наличии сканера в описании смартфона всегда упоминается.
• Осмотреть свое устройство. Если на задней панели, в районе камеры имеется небольшая квадратная, прямоугольная или круглая область неизвестного предназначения, то это вероятнее всего и есть сканер.
• Просмотреть брошюру, которая имеется в коробке с устройством, так как в ней обычно имеется перечень технических характеристик, в том числе указан сканер, если в устройстве он имеется.
• Следовать инструкции ниже, так как на одном из этапов настройки, наличие или отсутствие сканера будет очевидным.

Если вы убедились в том, что ваш смартфон обладает сканером отпечатков пальцев, то можно перейти к процессу его настройки. Думаю сразу стоит уточнить, что инструкция в первую очередь предназначена для обладателей устройств с “чистым” Android. То есть, если производитель вашего смартфона установил модифицированную версию операционной системы, то некоторые пункты из инструкции по настройке могут отличаться, но в общих чертах все будет так или иначе идентично. Поэтому имейте это ввиду, и не переживайте, если будут какие-то несостыковки в перечне действий. Итак…

1. Для начала переходим в “Настройки” смартфона.
2. Проматываем список до раздела “Личные данные” и нажимаем на пункт “Безопасность”.
3. Здесь, если в смартфоне имеется сканер отпечатков пальцев, в разделе “Безопасность устройства” должен быть пункт “Отпечатки пальцев”. Нажимаем на него. Соответственного, если такая настройка отсутствует, то в смартфоне нет рассматриваемого сегодня сканера, поэтому проверить его наличие можно подобным образом.
4. В первом окне настройки сканера нажимаем “Продолжить”.
5. Теперь нам предлагают выбрать дополнительный параметр защиты устройства, который мы будем использовать, если сканер не сработает, выйдет из строя, либо для иных форсмажорных ситуаций. Я выберу PIN-код, а вы выбирайте способ защиты на свое усмотрение.
6. Далее нас спрашивают, требовать ли пароль/код/ключ при запуске устройства. Здесь на ваше усмотрение, однако я отмечу вариант “Не запрашивать”, так как все равно никогда не выключаю устройство.
7. После решения вопроса с запросом при запуске, устанавливаем пароль/код/ключ. Обязательно запомните его или запишите, так как его потеря может привести к невозможности управлять смартфоном.
8. Теперь, следуя подсказкам на смартфоне, вносим своим отпечатки пальцев в его память. Если требуется, повторяет процедуру с другим пальцем.
9. Все. Теперь всякий раз, когда вы будете касаться сканера отпечатков пальцев, занесенным в базу, блокировка смартфона будет отключаться.

Просто, верно? Если же сканер вам больше не нужен, отключить его можно в том же меню настроек, введя сохраненные ранее пароль/код/ключ.

1. Для начала входим в «Настройки», теперь открываем развернутое меню, далее «Экран блокировки — Отпечаток пальцев».
2. Нас перебрасывает в окно, где просит сделать альтернативный вариант, а именно выбрать: «Стандартный пароль», «Графический ключ», «PIN» (имеется в виду, 4 цифры, достаточно слабая защита, не рекомендуем). Обойти этот пункт невозможно, так как в случае, если по каким-то причинам сканер перестанет работать, вы все равно сможете получить доступ к устройству, введя данные, указанные в данном разделе.
3. Как только вышеприведенная информация будет указана, переходим непосредственно к процессу скана отпечатка. Ничего сложного, каждый этап строго диктуется «Мастером Настроек». Прилаживаем подушечку к специальному изображению/квадрату, ждем пару секунд, и если понадобится – повторяем процедуру, по-разному ставя палец по отношению к сенсору.
4. Теперь мы автоматически возвращаемся в предыдущий этап меню, где вновь предлагается выбрать отпечаток. Вставляем только что сделанный «снимок». Вот и все.

Где хранятся отпечатки пальцев

Что интересно, даже односторонние хеш-функции отпечатков зашифрованы, причем ключи шифрования вычисляются во время загрузки устройства на основе уникального аппаратного ключа (который также хранится внутри Secure Enclave и не может быть оттуда извлечен) и кода блокировки, который вводит пользователь.

Расшифрованные дактилоскопические данные хранятся только в оперативной памяти устройства и никогда не сохраняются на диск. При этом система время от времени удаляет данные отпечатков даже из оперативной памяти устройства, вынуждая пользователя авторизоваться с помощью кода блокировки (который, напомним, даст системе возможность расшифровать данные отпечатков и возобновить работу датчика Touch ID).

Разблокировка приложения

После занесения отпечатка пальца в Android система предлагает возможности различного его применения. Одной из них является разблокировка любого приложения, которое защищается посредством сканера от несанкционированного доступа. Чтобы активировать этот режим, требуется:

• Зайти в настройки.
• Перейти в меню «Управление отпечатками пальцев».
• Активировать функцию «Защита приложений».
• Включить опцию «Замок приложений» для смартфонов китайских брендов или настроить систему Samsung Pass у смартфонов корейского гиганта.
• После выбора возможности разблокировки приложений по отпечатку пользователю будет предложено определить программы, для которых требуется применение данного метода аутентификации. По умолчанию к конфиденциальным относятся Контакты, Галерея, Сообщения и почтовый клиент.
• На экране появятся иконки программ. Наличие активной галочки будет свидетельствовать, что эти приложения можно открыть только при помощи биометрической системы идентификации или иного способа блокировки.
• В аппаратах от Samsung при необходимости ввода пароля от сайта или программы пользователю будет предложено использовать для разблокировки систему Samsung Pass.

Когда и почему iOS удаляет данные отпечатков из оперативной памяти

Пожалуй, самое интересное в системе безопасности iOS — это именно вопрос о том, при каких обстоятельствах iOS удалит данные отпечатков из оперативной памяти устройства и заставит пользователя заново авторизоваться с помощью кода разблокировки. Но для начала подумаем, зачем Apple вообще понадобилось периодически удалять отпечатки?

В компании отлично понимают (и понимали три года назад), что любую биометрическую систему можно обмануть. Да, в Apple разработали прекрасные дактилоскопические сканеры, обойти которые далеко не так просто, как датчик, к примеру, Samsung Galaxy S5. Но при этом все-таки можно. В конце концов, владельца можно заставить приложить палец для разблокирования телефона — вот только в рамках американской правовой системы для этого требуется ордер, на получение которого уходит время… по истечении которого телефон удалит из памяти данные отпечатков и не позволит разблокировать устройство по отпечатку пальца.

Как правильно настроить сканер отпечатков пальцев?

Благодаря говорящему названию данной технологии, понять что она из себя представляет довольно просто. Ее единственное предназначение – это считывание отпечатков пальцев, что необходимо для дальнейшего предоставления прав на управление устройством лишь его владельцу. Другими словами, сначала смартфон, при помощи сканера отпечатков пальцев, запоминает данные пользователя, а уже потом, при повторном считывании, сравнивает их с имеющимися в памяти, и если они совпадают – становится доступным для использования.

Звучит классно, не правда ли? Вот только в действительности все не так гладко как хотелось бы, ведь успешное функционирование сканера зависит от множества нюансов, одним из которых является его расположение, выбранное производителем на ранних этапах разработки. Размещение в кнопке под экраном еще можно как-то оправдать, но на задней панели в районе камеры?

Это что же получается, чтобы воспользоваться устройством, лежащим на столе, его каждый раз необходимо брать в руки? Серьезно? И ладно бы подобное размещение было выбрано какой-то малоизвестной небольшой компанией, которая только пробует свои силы в производстве смартфонов, но нет. Даже такой именитый бренд как Samsung, уже в нескольких своих устройствах подряд, размещает сканер на задней панели.

Еще одним спорным моментом при использовании сканера отпечатков пальцев, можно считать его не самую безупречную работу. Да, сама технология довольно точная, вот только в повседневном использовании довольно часто ощущается нехватка идеальных условий для ее полноценного функционирования, поэтому шанс безотказного срабатывания заметно снижается.

Руки у вас мокрые, палец с пластырем, перчатки – все это факторы, благодаря которым получить доступ к своему смартфону будет крайне проблематично. И производители это понимают, поэтому позволяют во время возникновения таких трудностей, воспользоваться старыми добрыми PIN-кодами, либо графическими ключами.

Итого, получается, что сканер отпечатков пальцев, не смотря на то, как он позиционируется во всем мире, не может обеспечить вас наиболее высоким стандартом защиты. Кроме того, его также довольно сложно считать более удобным способом разблокировки, так как это напрямую зависит от его расположения, которое запросто меняется по прихоти производителя, которому зачастую важнее визуальное восприятие, нежели практичность.

Однако, не смотря на эти спорные моменты, нельзя не признать, что для кого-то использование сканера отпечатков пальцев стало наилучшим способом защитить свое устройство. И конечно же, есть те, кто его еще не успел попробовать данную технологию. Для последних, собственно, и предназначена эта статья, поэтому думаю пора перейти в настройке сканера, чтобы каждый мог самостоятельно его попробовать и решить – стоит его использовать или нет.

Когда вы только включаете эту функцию в «Настройках» и делаете свой первый базовый «снимок» пальца – система тщательно запоминает и сохраняет его в специальной базе данных. Как, например, происходит при вводе пароля в Mi-аккаунте.

Введенная информация «вживляется» в смартфон без малейшей ошибки: никакого лишнего штриха, черточки, неточности. Поэтому очень важно, чтобы на момент основного сканирования на подушечке пальца отсутствовали царапины, ранки, не зажившие шрамы и так далее. Еще преградой к нормальному отпечатку может стать огрубевшая, мокрая кожа или мозоли.

 Загрузка …

Еще одним удобным способом применения дактилоскопического сканера является настройка разблокировки оплаты в Гугл Плэй. Подобная функция получила свою реализацию с версии сервиса 5.9. Начиная с нее, каждый пользователь может оплатить приобретение приложения или игры посредством дактилоскопического сканера.Для активации данной возможности требуется:

• Зарегистрировать минимум один отпечаток.
• Зайти в настройки.
• Выбрать пункт «Аутентификация по отпечатку пальца», поставив напротив галочку.
• Установить обязательную процедуру верификации для всех приобретений.

Теперь при совершении покупки для подтверждения действия система будет запрашивать отпечаток пальца.

Возможность применения сканера отпечатка пальцев в Android не ограничивается исключительно безопасностью. Некоторые производители смартфонов «навешивают» на эту деталь дополнительные опции, повышающие удобство пользования телефоном.

Как обойти

Если речь идет о взломе Touch ID, то обмануть датчик сложно, но можно. Для обмана современных датчиков тебе придется создать трехмерную модель пальца, причем из правильного материала. На старых устройствах (iPhone 5s, iPad mini 3) обойти датчик заметно проще. К примеру, команда немецких хакеров смогла провести датчик iPhone 5s через два дня после выхода устройства на рынок, попросту распечатав оригинальный отпечаток пальца с разрешением 2400 dpi.

Но перед тем, как приступать к моделированию отпечатка, тебе необходимо позаботиться о сохранности данных на устройстве, а также о том, чтобы данные отпечатка не успели «протухнуть».

Действовать нужно четко и быстро: у тебя минимум времени.

1. Итак, к тебе в руки попал телефон в неизвестном состоянии. Не трогай кнопку Touch ID! Если телефон заблокирован (а он, скорее всего, заблокирован), ты напрасно потратишь одну попытку из пяти. Проверь состояние устройства коротким нажатием кнопки питания.
2. Если устройство заблокировано, изолируй его от внешних радиосетей, поместив его в клетку Фарадея (в домашних условиях ее роль выполнит обычная микроволновка. Выключенная микроволновка!). Не забудь поставить его на зарядку, даже если ее роль будет выполнять внешний аккумулятор. Все это делается для того, чтобы оградить устройство от команд по протоколу Find My iPhone, которые позволят как дистанционно заблокировать устройство, так и уничтожить его содержимое. (Думаешь, эти меры очевидны? Как бы не так! Науке известны как минимум два нашумевших случая, когда полицейские допускали удаленное уничтожение данных с уже конфискованных устройств.)
3. А вот если устройство разблокировано, в твоих силах не позволить ему заблокировать экран. Для этого просто отключи автоматическую блокировку (в отличие от процедуры снятия кода блокировки, для отключения автоматической блокировки никакой код тебе вводить не потребуется).
4. Если устройство было заблокировано, у тебя есть максимум 48 часов (на самом деле меньше) на попытки обмануть датчик отпечатков.
5. Обрати внимание: все манипуляции с устройством должны проводиться исключительно в среде, защищенной от радиоволн (сетей Wi-Fi и сотовых сетей). Для срабатывания Find My iPhone достаточно пары секунд.
6. Если датчик отпечатков удалось обмануть, отключи автоматическую блокировку экрана (см. пункт 3). Имей в виду: попытки добавить еще один отпечаток в настройках или сменить код блокировки не пройдут — для этих операций система всегда потребует ввести код.

Как это использовать?

Допустим, у тебя получилось обмануть датчик отпечатка пальцев. Что дальше? iOS — закрытая система, а вся память устройства будет зашифрована. Варианты?

• Установка джейлбрейка: нет. Для взлома 64-битного iPhone или iPad тебе в любом случае потребуется ввести код блокировки (а в некоторых случаях еще и отключить код блокировки в настройках).
• Физическое извлечение данных: можно попробовать. Если джейлбрейк уже установлен, ты сможешь извлечь большую часть данных, но не сможешь расшифровать keychain. А вот если джейлбрейка нет, то ничего поделать не получится — для его установки тебе потребуется код блокировки.
• iCloud: возможно. Разблокировав устройство, ты сможешь заставить его сохранить свежую резервную копию в iCloud (Settings –{amp}gt; iCloud –{amp}gt; Backup –{amp}gt; Backup now). Помни, однако, что для извлечения этих данных из облака тебе понадобится пароль от Apple ID, а если в учетке активирована двухфакторная аутентификация — то и доступ ко второму фактору (в роли которого, впрочем, может выступить исследуемое устройство). Важный момент: тебе придется подключить устройство к Wi-Fi, в результате чего вместо резервной копии на устройство может прилететь команда блокировки или уничтожения данных.
• Резервная копия iTunes: пожалуй, это единственное, что сделать можно и нужно. Разблокированное устройство легко подключается к iTunes, с помощью которого создается резервная копия данных на твоем компьютере. Дальнейшее — дело техники. Один момент: пароль на резервную копию. Если он установлен, тебе придется его взломать (например, с помощью Elcomsoft Phone Breaker). А вот если он не установлен — обязательно установи свой! Простейшего 123 будет вполне достаточно. Из резервной копии, зашифрованной паролем, ты сможешь извлечь все данные, а из незашифрованной — все, кроме keychain. Поскольку в keychain хранится все самое интересное, установить временный пароль перед снятием резервной копии будет весьма полезно.

Ответы на популярные вопросы

Некоторые производители предусмотрели возможность ответа на вызов посредством сканера. Иногда требуется просто приложить палец, в некоторых случаях срабатывает свайп по сканеру для отклонения или ответа на входящий звонок.

7.3.10. Датчик отпечатков пальцев

В устройствах, в которых возможно использование блокировки экрана, РЕКОМЕНДУЕТСЯ использование датчика отпечатков пальцев. Требования к устройствам, оборудованным таким датчиком и предоставляющим доступ к API сторонним разработчикам:

• ОБЯЗАТЕЛЬНО декларировать поддержку android.hardware.fingerprint.
• ОБЯЗАТЕЛЬНО полная реализация fingerprint API из документации к Android SDK [Resources, 95].
• ОБЯЗАТЕЛЬНО иметь уровень ложноположительных срабатываний менее 0,002%.
• НАСТОЙЧИВО РЕКОМЕНДУЕТСЯ уровень ложноотрицательных срабатываний менее 10%, задержка срабатывания менее 1 секунды (для 1 сохраненного отпечатка).
• ОБЯЗАТЕЛЬНО ограничивать скорость попыток 30-секундной задержкой после 5 неудачных попыток.
• ОБЯЗАТЕЛЬНО иметь аппаратное безопасное хранилище, а верификацию отпечатков проводить исключительно в доверенной зоне Trusted Execution Environment (TEE) или на выделенном процессоре с безопасным каналом связи с TEE. (На этом погорел Samsung S5, в котором с безопасным каналом связи была проблема)
• ОБЯЗАТЕЛЬНО шифровать данные отпечатков таким образом, чтобы доступ к ним невозможно было получить за пределами Trusted Execution Environment (TEE) согласно Android Open Source Project [Resources, 96].
• ОБЯЗАТЕЛЬНО не разрешать добавлять отпечатки без установления доверенной цепочки (пользователь должен добавить или верифицировать PIN/паттерн/пароль через TEE согласно Android Open Source).
• НЕ ПОЗВОЛЯТЬ сторонним приложениям различать отдельные отпечатки.
• ОБЯЗАТЕЛЬНО корректно обрабатывать флаг DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT.
• ВСЕ ОПИСАННЫЕ ВЫШЕ ТРЕБОВАНИЯ ОБЯЗАТЕЛЬНЫ при обновлении до Android 6.0, при этом данные отпечатков должны быть или мигрированы безопасным образом, или сброшены.
• ЖЕЛАТЕЛЬНО использовать иконку Android Fingerprint из Android Open Source Project.

Как видим, документ не подразумевает двойных толкований. Производители, желающие сертифицировать устройства на базе Android 6.0 и выше, оборудованные датчиками отпечатков, должны полностью выполнить все требования. Более того: устройства, которые обновляются на Android 6.0, также обязаны соответствовать новым требованиям (и, соответственно, проходить сертификацию).

В другой части документа приведено требование обязательно включать шифрование при использовании безопасной блокировки экрана (в том числе датчика отпечатков пальцев). Как видим, в теории дела обстоят неплохо. А что на самом деле?

Наши китайские друзья

А как обстоят дела в многочисленных китайских телефонах, которые тоже идут с датчиками отпечатков? Там все очень по-разному.

Выше мы говорили о требованиях Google, изложенных в Android Compatibility Document. Если производитель хочет сертифицировать свои устройства для установки на них сервисов Google, его устройство под управлением конкретной версии прошивки должно пройти сертификацию в одной из лабораторий.

В Китае Google под запретом, и многие полуподвальные производители совершенно не собираются заморачиваться с ненужными сертификациями. Да ты и сам знаешь, с какими прошивками зачастую приходят устройства из Китая. В угоду производительности шифрование, как правило, не включается даже в прошивках на основе Android 6.

Даже если шифрование будет включено пользователем (маловероятно в случае дешевых устройств, но все же), у пользователя нет никакой гарантии, что датчик отпечатков интегрирован правильным образом. Особенно это касается устройств, которые продавались с Android 5 и более ранними версиями на борту, а обновление до 6-й версии Android получили позднее.

Из этого правила бывают исключения. Все международные модели Huawei, Lenovo в обязательном порядке сертифицируются Google (а вот о специфически китайских моделях этого сказать нельзя). Интересна ситуация со смартфонами LeEco, которые продаются в Китае и пытаются завоевать внешние рынки. В случае с LeEco для одной и той же модели часто существуют как чисто китайские, так и международные прошивки.

Отличаются они далеко не только предустановленным магазином Google Play, списком доступных языков и наличием/отсутствием «китайского мусора». В случае с международными прошивками (Индия, США, Россия) компания формально сертифицирует устройство для установки Google Play Services. В частности, в международных прошивках LeEco на основе Android 6.

0 (например, для Le2 Max) активируется (и не отключается) шифрование раздела данных — в полном соответствии с требованиями Android Compatibility Document. Многими пользователями это воспринимается как неудобство, и они пытаются перейти с таких прошивок на что-то другое, основанное на китайских сборках, что в свете разблокированного загрузчика полностью обесценивает всю модель безопасности.

Как взломать

Взлом датчика отпечатков для Android подразумевает имитацию пальца, с помощью которого можно разблокировать смартфон. Насколько подробной и качественной должна быть имитация, из какого материала выполнена — зависит от технологии, на которой построен датчик конкретной модели смартфона.

Так, ультразвуковые датчики бесполезно пытаться обмануть с помощью отпечатка, распечатанного с высоким разрешением на специальной токопроводящей бумаге, — но стандартные емкостные сканеры таким образом перехитрить можно.

А вот ультразвуковой датчик обманывается с помощью пальца, отпечатанного на 3D-принтере, причем материал особого значения не имеет. Наконец, практически любой датчик примет за настоящий накладной отпечаток, выполненный из тонкого слоя токопроводящего материала и надетый поверх пальца.

Наверное, о том, что для разблокирования телефона, оборудованного дактилоскопическим датчиком, можно использовать палец спящего, бессознательного человека или даже трупа (полиция пользуется этим способом постоянно), упоминать нет необходимости.

А вот о том, что в некоторых странах правительства собирают базы данных отпечатков пальцев своих и не только своих граждан (когда-нибудь получал американскую визу?), упомянуть необходимо. И если сейчас законодательные ограничения не позволяют использовать эти базы для разблокирования телефонов просто по подозрению, то в будущем я такой гарантии не дам.

Как защититься

даже если твой отпечаток сумеют отсканировать в достаточно высоком разрешении, времени на то, чтобы его использовать, у злоумышленника будет совсем немного. Правоохранительные органы могут заставить тебя разблокировать телефон отпечатком (и в отличие от разблокировки паролем они имеют на это полное право), но для этого действия им потребуется получить специальный ордер, в котором будет оговорена вся процедура. На получение ордера нужно время, за которое данные отпечатка в твоем iPhone успеют «протухнуть».

А вот если у тебя смартфон на Android… Включи шифрование. Без него данные с твоего телефона сольют безо всяких датчиков. Отключи Smart Lock — это зияющая дыра в безопасности. Убедись, что твой аппарат сертифицирован Google и работает под управлением Android 6.0 или более новой системы. Если это не так — я бы датчик отключил от греха подальше.

Наконец, не поленись поискать информацию о том, был ли взломан датчик отпечатков для твоего устройства и если был — просто или сложно это сделать. Принимай решение в зависимости от того, насколько лично тебя устраивает сложность взлома дактилоскопического датчика потенциальным злоумышленником именно на твоем устройстве.

Заключение

Дактилоскопическая аутентификация — не панацея. Ее основное предназначение не в том, чтобы сделать более безопасным конкретно твое устройство, а в том, чтобы снизить неудобства, связанные с безопасной блокировкой телефона, и таким образом убедить основную массу пользователей все-таки блокировать свои устройства.

У Apple — получилось. В Android ситуация сложнее: референсная система Nexus Imprint работает идеально, практически полностью копируя методы Touch ID. У других производителей дела обстоят не так радужно. Качество и безопасность датчиков временами вызывают сомнения, а в устройствах под управлением Android 5.

1 и более ранних версий дактилоскопические датчики и вовсе остаются открытой дырой в безопасности. В случае с китайскими устройствами с разблокированным загрузчиком наличие дактилоскопического датчика никак не ухудшит и без того отсутствующую безопасность (впрочем, может и ухудшить: если попавший в твои руки телефон включен, а раздел данных зашифрован, то обман такого датчика — отличный способ обойти шифрование).

WWW

Google Nexus 6P security features examined
Android 6.0 APIs: Fingerprint Authentication
How fingerprint scanners work: optical, capacitive, and ultrasonic variants explained