26 февраля 2016

Mobile World Congress 2016: пугающие тренды

Безопасность Новости

На Mobile World Congress традиционно приезжают ради смартфонов. Но если отвлечься от них хотя бы ненадолго и посмотреть на выставку под другим углом, то на ней можно найти еще много всего интересного. Именно это мы и постарались сделать, и некоторые тренды MWC 2016 показались нам довольно тревожными. Давайте разберемся почему.

Mobile World Congress 2016: пугающие тренды

Мобильные платежи: одержимость удобством

Похоже, что множество компаний буквально одержимы мобильными платежами: большое количество новых разработок, представленных на MWC, было связано именно с ними. Но в основном все нововведения направлены на то, чтобы упростить и повысить удобство проведения транзакций, а вовсе не на обеспечение их безопасности.

Например, Samsung сообщила, что платежная система Samsung Pay выходит на новые рынки, в том числе она начнет работать в Бразилии, Великобритании, Канаде, Китае и Испании. Если про проблемы с безопасностью Apple Pay нам прекрасно известно, то сказать то же самое про Samsung Pay мы не можем. Но можем рассказать вам о настораживающем факте: недавно хакеры взломали LoopPay, систему, лежащую в основе Samsung Pay, которую корейская корпорация приобрела год назад.

Samsung утверждает, что взломщики хотели украсть платежную технологию и создать собственную похожую систему, но нет гарантий, что они не собрали достаточно данных, чтобы скомпрометировать аккаунты пользователей Samsung Pay.

За несколько дней до MWC Qualcomm и Tencent сообщили, что один из телефонов на базе чипа Qualcomm теперь поддерживает систему авторизации по отпечаткам пальцев для проведения платежей в WeChat, самом популярном в Китае мессенджере. Qualcomm утверждает, что эти платежи являются суперзащищенными благодаря комплексу технологий Qualcomm Heaven, но мы-то знаем, что сканеры отпечатков пальцев небезопасны. Остается надеяться, что Qualcomm и Tencent справились с защитой биометрических сканеров лучше предшественников, а не то хакеры проделают с их разработкой то же, что и со всеми другими необкатанными нововведениями.

Mobile World Congress 2016: пугающие тренды

VISA движется в том же направлении, но более осторожно. И хотя один из крупнейших производителей кредитных карт явно в восторге от идеи бесконтактных платежей (взять хотя бы VISA PayWave), инженеры компании стараются трижды проверить и перепроверить защиту своих технологий, и это здорово.

Однако VISA уже одобрила технологию авторизации по радужной оболочке глаза, а на MWC 2016 показала свое видение аутентификации по отпечаткам пальцев. Радует то, что это решение пока еще находится на ранней стадии тестирования, и инженеры компании обдумывают создание на ее основе более защищенной системы двухфакторной авторизации — одновременно по отпечаткам пальцев и радужке глаза.

Конечно же, мы не упустили возможность задать сотруднику VISA вопрос о том, как новая разработка будет отличать поддельные отпечатки пальцев и радужную оболочку глаза от настоящих. Как оказалось, он никогда не слышал о том, что их вообще можно подделать. Но молодой человек уверил нас, что, если все так и есть, инженеры VISA обязательно придумают, как еще защитить деньги клиентов: например, добавят к показанной системе возможность снимать показатели кровообращения в венах — они у всех людей тоже разные.

Mobile World Congress 2016: пугающие тренды

Главный конкурент VISA, компания MasterCard, переиграла всех, представив селфи-платежи. Да, вы все правильно поняли — селфи-платежи. В MasterCard считают, что использование селфи вместо паролей — отличная идея, ведь за много лет человечество так до сих пор и не научилось с ними правильно обращаться: кто-нибудь обязательно либо запишет сложную комбинацию на бумажке, либо использует один пароль для всех сайтов.

На видео видно, что для авторизации нужно не только посмотреть в камеру, но и моргнуть в указанное время — такую систему не обманешь обычной распечатанной фотографией. Но мы уверены, что хакеры по всему миру уже приняли этот вызов. Возможно, чтобы взломать защиту системы, хватит одной видеозаписи.

Сканеры отпечатков пальцев: технология в стагнации

Мы уже упоминали, что сканеры отпечатков пальцев небезопасны. И эта проблема никуда не делась. Биометрия становится все популярнее, и теперь дактилоскопические сенсоры можно найти в смартфонах самых разных ценовых категорий. Компания Huawei даже интегрировала такой сенсор в свой новый ноутбук-трансформер на Windows под названием MateBook, представленный на MWC 2016.

Мы пообщались с двумя производителями сканеров отпечатков пальцев. Новый сенсор от Synaptics защищен настолько, насколько это вообще возможно: все данные шифруются, к тому же Synaptics настоятельно рекомендует всем производителям использовать для обработки этих данных защищенную среду ARM Trustzone.

Другой производитель, NEXT, предлагает два типа сканеров, и в одном из них шифрование вообще отсутствует. NEXT также не акцентирует внимание на необходимости обработки данных в безопасной среде, но зато предлагает свою продукцию по демпинговым ценам. Так как цена для большинства производителей смартфонов куда важнее защиты, дешевые и небезопасные сканеры NEXT наверняка попадут во многие устройства. В результате бесконтактные платежи станут в среднем еще менее защищенными, чем сейчас.

Mobile World Congress 2016: пугающие тренды

Подключенные автомобили

В будущем мы наверняка будем пользоваться подключенными к Сети беспилотными автомобилями — по крайней мере, все к этому идет. Однако производители автомобилей на данный момент больше заняты вопросами поведения и безопасности машины на дороге, чем ее защитой от киберугроз. Как показали последние исследования, машины, имеющие доступ в Сеть, уязвимы для кибератак, и в некоторых случаях последствия этих атак могут быть очень плачевными.

Samsung и Sony на MWC 2016 представили наборы «подключи машину к Сети своими руками», причем оба можно использовать даже в старых авто. Версия Sony подключается с помощью USB и Bluetooth и больше похожа на контроллер для навигационного приложения в вашем телефоне. Если хакер взломает это устройство, ему достанется не слишком много информации: разве что он узнает, куда вы направляетесь и какую музыку слушаете. Ну еще он сможет переключать треки или менять пункт назначения — в общем, ничего особо ужасного.

Mobile World Congress 2016: пугающие тренды

А вот Samsung представила более сложное устройство. Среди прочего оно, во-первых, позволяет анализировать жизненные показатели автомобиля, а во-вторых, служит бортовой точкой доступа Wi-Fi. Это значит, что данное устройство подключается одновременно и к порту OBD II в машине, и к сети LTE. Мы уже знаем, что автомобиль можно удаленно взломать с помощью OBD II, а Samsung лишь облегчает эту задачу, подключая его напрямую к Интернету.

Ваше авто может быть одним из самых безопасных и получать высшие оценки во всех краш-тестах, но, если кто-то способен подключиться к нему и перехватить контроль, о безопасности можно забыть.

Mobile World Congress 2016: пугающие тренды

На самом деле не все на MWC 2016 было таким страшным. Мы увидели немало интересных устройств и услышали много хороших новостей. Но, как бы там ни было, в этом году Mobile World Congress практически целиком посвящен всевозможным подключенным устройствам. А чем больше устройств подключается к Интернету, тем больше становится возможностей их взломать и скомпрометировать. Мы надеемся, что на следующем MWC компании посвятят больше времени защите всех этих устройств. Впрочем, уже сейчас понятно, что мы точно поговорим об их взломе на следующей конференции Black Hat.