סורק טביעות האצבע ב-iPhone 5S – מהפכה או צעצוע?

האם סורק טביעות האצבע במכשיר החדש של אפל (Apple) הוא ה-המצאה שתפטור את מנהלי האבטחה בארגונים מכאבי הראש, תשנה את מפת גניבות הטלפונים בעולם ותהפוך לסטנדרט בסמארטפונים, או שאולי הוא סתם צעצוע?

שאלה זו היא שעומדת בראש הנושאים בהם עוסקים בשוק וברשת לאחר ההשקה אמש (ג') של ה-iPhone 5S, מכשיר הדגל החדש של אפל. ה-"נשק" החדש במכשיר מאפשר זיהוי באמצעות טביעת אצבע של בעליו במקום סיסמת נעילה, כמו גם הזדהות לצורך רכישה בחנות iTunes. עדיין לא ידוע האם אפשר יהיה להשתמש בו בתרחישים נוספים והאם אפל תאפשר לגורמים מצד שלישי לכתוב יישומים שיוכלו להשתמש בו לצורך זיהוי.

יש לסורק טביעות האצבע ב-iPhone 5S פוטנציאל לשפר את האבטחה של המכשיר, אך חוקרי אבטחה טוענים שהשטן יהיה בפרטים הקטנים. לדבריהם, יעילותו תהיה תלויה בכיצד הוא ייושם והאם ייעשה בו שימוש בשילוב עם טכנולוגיות אימות ואבטחה נוספות.

"לא ברור כיצד הסורק יעמוד בפני ניסיונות עקיפה"
כשהציגה את הטכנולוגיה החדשה טענה אמש אפל, כי ה-Touch ID סורק שכבות תת עוריות ברזולוציה של 500 פיקסלים לאינץ'; שהוא מזהה את טביעת האצבע בכל זווית וכיוון של האצבע; ושהטביעה תישמר בצורה מוצפנת בתוך מעבד ה-A7 החדש של המכשיר, שאינו נגיש לתוכנה, ולא תאוחסן בשרתי אפל או תגובה ב-iCloud.

למרות כל האמצעים האלה, חוקרי אבטחה ציינו שלא ברור כיצד יעמוד הסורק בפני ניסיונות לעקוף אותו. לדבריהם, ניסיונות תקיפה נגד סורקי טביעות אצבעות בדרך כלל מבוססים על תמונות של האצבע או על גלופה שיוצרה מהדפסת התמונה, והתקווה היא שהחיישן של ה-iPhone 5S יהיה בעל הגנה חזקה דיה נגד טביעות מועתקות.

אפל ציינה שלפחות מחצית מהמשתמשים לא נועלים את הסמארטפון שלהם באמצעות סיסמאות, כנראה בגלל אי הנוחות שביצירת סיסמה חזקה וזכירתה והסרבול שבהפעלתה. חוקרי האבטחה ציינו שהעדר הצורך בסיסמה במכשיר החדש ישפר את אבטחתו, מאחר שהוא יאפשר למשתמשים לאבטח את המכשיר בדרך קלה.

טענה נוספת שמעלים חוקרי האבטחה היא שהתכונה החדשה תהפוך את אבטחת המכשיר לטובה אם ייעשה בה שימוש בשילוב עם טכנולוגיות אימות נוספות, והיא תהיה חלק מאימות המבוסס על שני גורמים. למשל, הצפנת קבצים באמצעות סיסמה, שהגישה אליהם תותר רק כשהמכשיר פועל. בנוסף, אם אפל תאפשר ליישומים אחרים להשתמש בחיישן טביעות האצבע, הדבר יכול לשפר לאין ערוך את אבטחתם. למשל, יישום בנקאי שידרוש סריקת אצבע לצורך פעולה כספית בחשבון.

ההסכמה בין החוקרים היא שיעילותו של סורק הטביעות ב-iPhone 5S תתממש במיטבה כאשר תהיה גורם אחד מתוך שניים לצורך אימות וזיהוי. לדבריהם, הניסיון בתחום האבטחה מראה, כי בקרת גישה צריכה תמיד לכלול לפחות שניים מן הגורמים האלה: משהו שאתה יודע, למשל סיסמה, משהו שיש לך,  כמו כרטיס, ומשהו שהוא אתה, לדוגמה תוכנה ביומטרית כלשהי. המטרה באבטחה היא תמיד להעלות את הרף לתוקפים, והוספת שכבת הגנה נוספת הופכת את החדירה או הגישה הבלתי מורשית למכשיר קשה הרבה יותר.

עוד הם טוענים, כי אם אפל תיתן לגורמים מצד שלישי אפשרות לשימוש בסורק, ארגונים יוכלו לעשות זאת כדי לאבטח יישומים ארגוניים ולהגביל את הסיכונים הנובעים מגניבת אמצעי זיהוי של עובדים. ואולם, שימוש בסורק בלבד יהווה אבטחה בינונית, כי לבטח יהיו מי שימציאו שיטות לעקוף אותו. כמו כל דבר שפועל במכשיר, הסורק הוא רק יישום שמתקשר עם מערכת ההפעלה, וכמו כל יישום, בלי קשר לתפקידו, הוא מכיל פגיעויות וסיכונים שנובעים מסיבות רבות. החוקרים טענו שכנראה שהיישום הזה לא יהיה יוצא מן הכלל ולבטח יפרצו אותו.

החוקרים התייחסו בהקשר של הסורק המדובר גם לגניבות הסמארטפונים, שהפכו למכה עולמית. הם מסכימים שהאבטחה הפיזית באמצעות הסורק, יחד עם טכנולוגיות כמו מעקב מרחוק, יקשו על הגניבה ואולי יפחיתו את ממדיה.

בינתיים, מדובר רק בהערכות, שנדע האם הן נכונות או לא, מן הסתם, רק לאחר שהמכשיר יגיע לשוק. או אז נוכל כולנו לדעת האם הסורק החדש הוא עוד מהפכה מבית אפל או שהוא לא מספק את הסחורה.