Отпечаток пальца как слабое место смартфона

Если вам вдруг показалось, что с победой Apple над ФБР в судах Калифорнии и Нью-Йорка тема информационной безопасности исчерпалась, то спешу вас разочаровать. Конечно, директор ФБР больше не ходит в Конгресс с рассказами про то, как нужно заставить Apple сотрудничать, а у любителей теорий заговоров исчерпалась тема для рассказов о том, как Apple продалась всем правительственным организациям сразу, а для публики устроила сессию пиара. Но даже за рамками тех судебных процессов происходят интересные события, которые, возможно, существенно повлияют на то, кто, как и когда сможет получить доступ к личным данных обычных людей.
touch-id-iphone-6-600x360
Сами события произошли еще в феврале, но известно стало о них только сейчас. В этот раз история из Лос Анджелеса крутится вокруг смартфона с Touch ID: там судья выписал ордер, согласно которому осужденная (29-летняя девушка армянского происхождения, обвиненная хищении персональных данных) была вынуждена приложить свой палец к телефону для разблокировки устройства, которое было изъято у нее дома. Вот сам ордер, а вот статья в LA Times об этом.

“Ну приложила и приложила палец, подумаешь”, скажете вы. Не бутылкой же от шампанского из нее эту разблокировку айфона добывали, в чем проблема? Проблема, однако, в том, что использование таким образом биометрического материала человека вызывает интересный юридический казус, и пока что среди юристов нет единого мнения по этому поводу. Пятая Поправка к Конституции США гласит:

No person shall be held to answer for a capital, or otherwise infamous crime, unless on a presentment or indictment of a Grand Jury, except in cases arising in the land or naval forces, or in the Militia, when in actual service in time of War or public danger; nor shall any person be subject for the same offence to be twice put in jeopardy of life or limb; nor shall be compelled in any criminal case to be a witness against himself, nor be deprived of life, liberty, or property, without due process of law; nor shall private property be taken for public use, without just compensation.

Здесь жирным я выделил тот фрагмент текста, который важен для данной статьи: человек имеет право не свидетельствовать против самого себя. Аналогом в, например, Конституции РФ, является статья 51, в которой говорится, что:

Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.

Конфликт возникает в том месте, что отпечаток пальца — это нечто, что подтверждает то, кем мы являемся, в отличие от пароля — то, что мы знаем и помним. В итоге человек может принять сознательное решение не сообщать то, что он знает и помнит (пароль), а вот от получения правоохранительными органами биометрического материала человека — отпечатков пальцев, проб ДНК или записи голоса — человек больше не может защититься этой поправкой или статьей, так как суды в свое время приняли решение, что подобная информация “не раскрывает ваши знания”, то есть не является автоматически “свидетельствованием”.
Но именно в том месте, где соприкасается биометрический материал человека (отпечаток пальца) и доступ к информации, возникает коллизия. Разблокировав телефон с помощью отпечатка пальца, человек, по сути, проводит аутентификацию данных на телефоне и становится “связанным” с этими данными. Так, по крайней мере, считают некоторые юристы, сравнивая это с тем, как если бы человек пошел домой, взял там документы и предоставил их полиции. Хотя другие юристы с этим утверждением не согласны, заявляя, что такое действие не может считаться “свидетельствующим”. Отдельный фактор — это то, что сам телефон может содержать большое количество информации, которая позже может превратиться в инкриминирующую.
Конечно, в этом случае полиции повезло, что с момента “разлучения” арестованной владелицы iPhone и самого гаджета не прошло 48 часов, так как токен Touch ID “протухает” через 48 часов с последнего использования отпечатка пальца для разблокировки устройства, и после этого нужно ввести пароль (также пароль нужно вводить после перезагрузки iPhone). Но с развитием технологий сканер отпечатка пальца становится весьма уязвимым местом в смартфоне. Допустим, суд не разрешает приложить палец арестованного человека к сканеру в телефоне, но взять-то отпечатки пальцев у такого человека правоохранительные органы обязаны. При наличии качественного снимка отпечатка пальца напечатать “слепок” пальца реально уже сегодня, а в будущем это будет еще проще. Одна база только ФБР насчитывает более 100 млн сканов отпечатков пальцев (там речь про “subjects”, поэтому я думаю, что речь на самом деле о сканах отпечаткой 100 млн человек), не говоря уже про всякие другие организации. Некоторые умельцы могут попробовать напечатать “слепок” пальца просто по качественной фотографии, так что, я думаю, именно сканеру отпечатков пальца как единственному методу авторизации в смартфонах, осталось недолго. Эту схему нужно будет укреплять дополнительными факторами, возможно, дублированием паролем или еще какими-то вариантами, потому что безопасным этот метод в будущем точно не будет.
PS любителям рассказывать “мне нечего скрывать” я могу только повторить: в ситуации, когда на телефоне хранится личная информация, включая платежные инструменты и информацию о здоровье, за право доступа к телефону будут бороться не только правоохранительные органы (как выше), но и всевозможные злодеи всех мастей. Как вы не развешиваете в интернете фотографии своих паспортов и карточек, так и доступ к данным на телефоне должен оставаться безопасным и защищенным.
АПД. А вот CNN пишет, что, хоть суд в ордере и разрешил “приложить палец к айфону”, эта операция не сработала, и телефон не разблокировался. На предложение назвать пароль женщина ответила, что это не ее телефон.