Самсунг, Оппо и Нокиа входят в число производителей телефонов Android с технологией сканирования лиц, которую можно «легко обмануть» напечатанной 2D-фотографией, согласно тестам, проведенным в издании «Which?».
Специалисты, которые проверяли ряд телефонов и брендов, сказали, что результаты вызывают обеспокоенность, поскольку биометрическая технология часто считается одним из самых безопасных способов разблокировки телефона.
Из 48 телефонов, отправленных в лабораторию для тестирования, 19 можно было разблокировать фотографиями, и «вызывает тревогу» то, что они были «даже не особенно высокого разрешения и напечатаны на стандартном офисном принтере на обычной, а не на фотобумаге».
Подавляющее большинство телефонов, которые не прошли простой биометрический тест, были, что неудивительно, по цене от низкой до средней. Хотя были исключения, в том числе Xiaomi 13 и Motorola Razr.
Семь телефонов были произведены Сяоми, четыре Моторолой и по два – Самсунгом, Нокиа и Оппо. По одной модели Honor и Vivo также оказались уязвимыми.
В соответствии с требованиями Android производители телефонов должны гарантировать, что устройства и программное обеспечение «совместимы с Android», что включает в себя возможную частоту подделки защиты устройства. Системы класса 3 не должны быть обмануты более чем в 7% случаев, а системы класса 1 наименее безопасны, с вероятностью обнаружения от 20% и более.
«Which?» выразил опасения, что мошенники могут воспользоваться этой слабостью, например, для доступа к Google Wallet для осуществления платежей на ограниченную сумму (£45 в Великобритании, около $56) без необходимости разблокировать свой телефон. Для крупных транзакций Google просит пользователей использовать биометрический замок класса 3.
«Which?» утверждают, что для мошенничества с 2D-фотографиями уязвимы следующие телефоны:
Honor 70; Моторолы Razr 2022, Мото Е13, Мото G13, Мото G23; Нокиа G60 5G и Х30 5G; Оппо А57 и Оппо А57s; Самсунги Galaxy А23 5G и M53 5G; Виво Y76 5G и целая линейка Сяоми: POCO М5, М5с, Х5 Про; 12Т, 12Т Про, 12 Лайт и 13.
Гугл Кошельки содержат кредитные или дебетовые карты и могут отображать последние четыре цифры номера карты и, возможно, информацию о последних транзакциях. Это и другие приложения могут быть уязвимы для разблокировки с помощью 2D-фотографий.
В «Which?» добавили, что протестированные уязвимые телефоны должны быть классифицированы как биометрические класса 1. «Android не разрешает использование телефонов этой категории сторонними приложениями для входа или подтверждения важных действий».
Для банковских приложений могут потребоваться другие дополнительные требования или методы аутентификации для транзакций на большие суммы. Хотя, если вы являетесь пользователем Эппл, все это не имеет значения, поскольку все протестированные айфоны прошли проверку благодаря «более надежной системе», которая включает в себя «трехмерную карту глубины вашего лица». Это объясняет, почему многочисленные банковские приложения позволяют разблокировку с помощью распознаванию лиц исключительно на устройствах Apple.
Нет никаких законов, которые удерживают производителей телефонов повышать собственный уровень биометрической безопасности. Существуют добровольные стандарты, такие как Европейский институт телекоммуникационных стандартов, который гласит: «Двухмерное распознавание лиц не должно быть обмануто чаще, чем 1 из 50 тыс. раз». Группа кампании считает, что протестированные телефоны не прошли этот показатель.
В «Which?» отмечают, что Гугл работает с другими производителями в отрасли над сертификационной программой, основанной на этом стандарте. Чемпион по защите прав потребителей призвал поставщиков усилить свою биометрическую игру против спуфинга и информировать пользователей об ограничениях некоторых типов технологий сканирования лица.
Лиза Барбер, технический редактор журнала «Which?», заявила: «Недопустимо, чтобы бренды продавали телефоны, которые можно легко обмануть с помощью 2D-фото, особенно если они не информируют своих клиентов об этой уязвимости. Наши тесты имеют очень тревожные выводы относительно безопасности людей и опасности мошенничества. Мы настоятельно рекомендуем всем, кто использует эти телефоны, отключить распознавание лиц и вместо этого использовать датчик отпечатков пальцев, надежный пароль или длинный PIN-код».
Google сказал, что OEM-производители оборудования выбирают уровень биометрической безопасности, и они несут ответственность за то, чтобы их продукты соответствовали требованиям документа определения совместимости с Android. Притом, что сама компания «постоянно работает над тем, чтобы поднять планку безопасности пользователей».
