محمدرضا صباغ نژاد چهارشنبه 15 شهریور 1396 01:28 ب.ظ نظرات ()
سیستم تشخیص چهره گلکسی نوت ۸ نیامده هک شد؛ واقعا حسگرهای بیومتریکی چقدر امن هستند و می‌توانند جایگزین بهتری برای رمزعبور باشند؟


دیروز کلیپی در وب و شبکه‌های اجتماعی منتشر شد که نشان می‌داد یک توسعه‌دهنده وب در یک مکان نمایشگاهی (احتمالا ایفا ۲۰۱۷) به راحتی و در کسری از ثانیه سیستم تشخیص چهره گوشی گلکسی نوت ۸ را هک می‌کند. این کاربر خیلی ساده یک اسمارت‌فون دوم را جلوی دوربین گلکسی نوت ۸ گرفت و گلکسی نوت ۸ با تشخیص چهره کاربر از روی عکس از حالت قفل خارج شد.

تقریبا این اتفاق برای تمامی گوشی‌های رده بالای بازار از هر برند و سیستم‌عاملی رخ داده است. گوشی‌های گلکسی نوت ۵ با سیستم تشخیص اثرانگشت عرضه شدند و کلی سروصدا به راه‌ انداختند اما خیلی زود فیلم‌ها و عکس‌هایی در وب منتشر شد که آموزش می‌داد چگونه این اسکنر اثرانگشت را هک کنیم. گلکسی نوت‌های بعدی هم به روش‌های مختلف هک می‌شدند.



از سوی دیگر؛ این داستان برای گوشی‌های آیفون هم تکرار می‌شد و اگرچه هک سیستم تشخیص اثرانگشت آن‌ها سخت‌تر است ولی باز دو الی سه ماه پس از انتشار و عرضه رسمی آیفون؛ خبرهای هک حسکر اثرانگشت آیفون را می‌شنویم.

تقریبا به جرات می‌توان گفت هنوز سیستم اسکنر اثرانگشت یا چهره‌ای روی گوشی‌ها وارد بازار نشده است که نتوان آن را هک کرد و با روش‌های مختلف فریب داد. این وضعیت در حالی است که باز چند روز پیش طی خبری متوجه شدیم یکی از شعب رستوران‌های زنجیره‌ای KFC در چین برای اولین بار سیستم پرداخت مبتنی بر تشخیص چهره عرضه کرده است.

چندین سال است که شرکت‌های امنیتی روی استفاده از سیستم‌های بیومتریک به‌جای سیستم‌های سنتی احرازهویتی مانند پین‌کد و رمزعبور تاکید می‌کنند و برندهایی مانند سامسونگ؛ اپل و دیگران هم سیستم‌های اثرانگشت و چهره خود را با آب و تاب معرفی و درباره امنیت بالای‌شان داستان‌سرایی می‌کنند.

هر ساله؛ در مراسم معرفی اسمارت‌فون‌های پرچم‌دار جدید؛ بخش زیادی از مراسم به معرفی سیستم تشخیص اثرانشگت و چهره و دیگر حسگرهای امنیتی اختصاص دارد. با یک جست‌وجوی ساده در اینترنت پیرامون سیستم تشخیص چهره گلکسی نوت ۸ یا آیفون ۸ که البته هنوز معرفی نشده است؛ می‌توانید حجم بسیار بالای خبر و بررسی و شایعه درباره این سیستم‌ها را مشاهده کنید.

هکرها برای دور زدن چنین سیستم‌هایی روش‌های مختلف و متنوعی به کار می‌گیرند که از ساده تا پیچیده‌ترین متدها را شامل می‌شوند. از هک ساده با یک عکس فیسبوک یا عکس چاپ شده روی کاغذ و نمایشگر اسمارت‌فون بگیرید تا ساختن ماکت و چهره مصنوعی کاربران یا پرینت اثرانگشت‌های مختلف و ساختن اثرانگشت از مواد پلاستیکی و قرار دادن آن‌ها روی حسگرهای اثرانگشت.

رشد و توسعه اسکنرها و چاپگرهای سه‌بعدی در چند سال اخیر نیز این وضعیت را بیشتر از قبل بغرنج کردند. انواع انگشت‌ها و چهره‌های سه‌بعدی از روی یک عکس ساده ساخته می‌شود تا اسمارت‌فون‌ها مثل آب خوردن دور زده شوند.

حالا این سوال جدی مطرح می‌شود که «اگر سیستم‌های تشخیص هویت بیومتریکی این‌قدر ضعیف هستند؛ چگونه می‌خواهند جایگزین رمزعبور و دیگر سیستم‌های سنتنی احرازهویت شوند؟»

آیا این سیستم‌ها فقط برای خبرسازی و فروش بیشتر محصولات الکترونیکی مصرفی و ترغیب مشتری به خرید استفاده می‌شوند یا اینکه فناوری‌های پشت‌سر ساخت آن‌ها ضعیف و شکننده است و شرکت‌ها آن‌قدر که باید روی این حسگرها کار نمی‌کنند؟

پژوهش‌گرانی از سراسر اروپا در قالب یک طرح پژوهشی دانشگاهی و دانش‌بنیان چندین سال است که دارند روی این موضوع کار می‌کنند. از نظر این محققان؛ سیستم‌های اعتبارسنجی بیومتریک بالاترین ضریب امنیت و موثرترین روش برای تشخیص هویت هستند اما بالقوه آسیب‌پذیراند و سیستم‌های فعلی که در بازار موجود است؛ به راحتی هک شده و باید با فناوری‌ها و روش‌های جدیدی جایگزین شوند.

در این پژوهش روی سیستم‌های جدیدی از تشخیص هویت بیومتریکی کار می‌شود تا در آینده مورد استفاده قرار بگیرند. مثلا در شاخه‌ای از این پژوهش روی بررسی «زنده بودن اثرانگشت» توسط حسگر کار می‌کنند و در شاخه دیگری به دنبال ساخت فناوری‌هایی برای «تجزیه و تحلیل بافت پوست» هستند. همین‌طور؛ دارند روی سیستم‌های تشخیص عنبیه چشم یا پلک زدن چشم کار می‌کنند. سیستم‌های احرازهویت مبتنی بر چشم نیز در چند سال اخیر شایع شده ولی باز به راحتی هک می‌شوند.

این پژوهش بسیار امیدوار است در چند سال آینده سیستم‌های تشخیص هویتی بسازد که دیگر قابل هک شدن نباشند یا حداقل هر فردی در گوشه و کنار جهان نتواند این سیستم‌ها را دور بزند.

در یک جمع‌بندی؛ آن چیزی که کارشناسان امنیتی به کاربران توصیه می‌کنند؛ استفاده از سیستم‌های تشخیص هویت بیومتریکی مانند اسکنر اثرانگشت یا چهره و چشم است ولی در حال حاضر این سیستم‌ها به تنهایی یک امنیت کامل را تامین نمی‌کنند و بهتر است با دیگر شیوه‌های سنتی مانند پین‌کد و رمزعبور ترکیب و استفاده شوند.