Хакеры уже взломали сканер отпечатков пальцев iPhone 5S

Александр Панасенко 23 Сентября 2013 - 12:34

...

Группа хакеров из Германии утверждает, что ей удалось взломать систему работы сканера отпечатков пальцев, встроенную в новый Apple iPhone 5S. Взлом системы был проведен всего через два дня, после того, как Apple начала продажи своего нового флагманского смартфона. В компании заявляли, что сканер отпечатков пальцев позволит лучше защитить устройство от преступников и хакеров.

Эксперты говорят, что если утверждения хакеров из немецкого Chaos Computing Club (CCC) будут подтверждены, то для Apple это будет смущающим моментом и конкурентное преимущество iPhone 5S перед продуктами Samsung и других Android-производителей растает. Кроме того, Apple декларировала Touch ID, как одно из главных новшеств последнего iPhone, пишет cybersecurity.ru.

Чарли Миллер, со-автор iOS Hackers Handbook, говорит что представителям CCC удалось полностью скомпрометировать защиту системы Touch ID. Кроме того, он говорит, что подобные взломы становятся вектором для дальнейших атак, связанных со смартфоном.

На сегодня CCC считается одной из крупнейших и уважаемых хакинг-групп, которая ранее занималась многими громкими взломами. На YouTube-канале CCC уже размещено видео взлома Touch ID. "Отпечатки пальцев не должны применяться для защиты всей информации. Вы оставляете их повсюду и снять их, чтобы потом подделать, очень легко", - говорит Starbug, один из участников CCC.

По его словам, они скомпрометировали систему, просто сфотографировав отпечаток пальца пользователя и переведя его на специальный прозрачный слой. Отметим, что подобные техники также применяются и для обхода других сканеров безопасности.

Как сообщалось ранее, пользователи Twitter собирают деньги на приз первому взломщику сканера отпечатков пальцев Touch ID, который определится на конкурсе хакеров. Сайт istouchidhackedyet.com ("Touch ID уже взломали?") ведет учет всех пользователей, добавивших в призовой фонд деньги, валюту Bitcoin или алкоголь. Кроме Twitter-юзеров конкурс финансируют несколько небольших венчурных фондов, которые внесли в копилку призера по 10-15 тысяч долларов.

Сканер отпечатков пальцев встроен в кнопку "Домой" и позволяет активировать телефон, а также подтверждать совершение покупок в AppStore и iTunes. Отпечатки пальцев пользователей iPhone 5S будут зашифрованы и сохранены на смартфоне в виде уникального параметра цифровой подписи. Таким образом, посторонние, а также сами разработчики Apple, не смогут получить доступ к образу отпечатка пальца, по утверждению производителя.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 19 Июня 2025 - 09:02

Соответствие законодательству РФ Общее Защита критически важных объектов Соответствие требованиям регуляторов

ФСТЭК России огласила новые требования по защите ИС госструктур

Опубликованы обновленные ФСТЭК России нормативы по защите информации для госорганов и контролируемых государством учреждений, которые начнут действовать с 1 марта 2026 года.

Приказ регулятора № 117 от 11.04.2025 об утверждении требований по защите информации издан взамен аналогичного и пока актуального распоряжения № 17 от 11.02.2013.

В документе особо отмечено, что аттестаты соответствия на ГИС и иные ИС, выданные до вступления в силу новых норм, будут считаться действительными.

В нем также определена основная цель защиты информации в госструктурах — предотвращение событий, приводящих к негативным последствиям (угроза жизни / здоровью, утечка персональных данных, нарушение функционирования АСУ, материальный ущерб, потеря конкурентного преимущества и т. п.).

Для этого оператору следует прежде всего определить такие события, соответствующие угрозы, а также системы и средства, воздействие на которые может привести к негативным последствиям.

Согласно новым требованиям, подразделения ИБ должны как минимум на 30% состоять из сотрудников с профильным образованием либо прошедших соответствующую переподготовку.

Много внимания в приказе уделено работе с подрядчиками. В частности, для них рекомендуется разработать политику ИБ и вменить им в обязанность следовать таким указаниям.

Стоит также отметить следующие требования:

проведение мониторинга ИБ в соответствии с ГОСТ Р 59547-2021, с передачей ФСТЭК годовых отчетов о результатах;
проведение проверок защищенности (дважды в год или чаще) и уровня зрелости (ежегодно) по методикам ФСТЭК;
передача регулятору данных о новых уязвимостях (в течение пяти рабочих дней);
сокращение сроков устранения уязвимостей (критические — 24 часа, высокой степени опасности — 7 календарных дней);
обязательный контроль установки обновлений;
привилегированный доступ — только со строгой аутентификацией или усиленной MFA, а также с регистрацией таких попыток;
обязательное использование EDR.

Пользоваться личными мобильными устройствами разрешено, но с соблюдением требований по защите и под контролем. Предусмотрена возможность удаленного доступа с личных устройств (в пределах России) при наличии адекватной защиты: специализированных средств обеспечения безопасности, антивируса, аутентификации с использованием криптографии и т. п.

Примечательны также требования в отношении ИИ: в случае использования таких технологий оператор должен обеспечить защиту от утечек, злоупотреблений через атаку на ИИ-модель и соблюдать регламент взаимодействия с ИИ-сервисами — по разработанным шаблонам либо без них, но с ограничением тематики.

Поскольку ИИ может совершать ошибки, оператору надлежит принять меры по их выявлению и ограничить участие такого помощника в принятии решений.