Dziwne pytania, których jeszcze niedawno nikt nie musiał zadawać

Popularyzacja zabezpieczeń biometrycznych rozwiązała wiele problemów, ale też stworzyła kilka nowych. Niektóre z nich są dość dziwaczne i prawdopodobnie jeszcze kilka lat temu większość z nas traktowałaby je jak coś wyjęte żywcem z filmu science fiction. W poniższym artykule znajdziecie przykłady trzech takich dziwnych pytań dotyczących zabezpieczeń biometrycznych, których jeszcze niedawno nikt nie musiał zadawać. Przedstawione tu przykłady dotyczyć będą głównie Touch ID i Face ID, czyli zabezpieczeń opracowanych przez Apple, jednak większość z nich można odnieść również do rozwiązań konkurencyjnych producentów sprzętu elektronicznego.

Czy można odblokować iPhone'a za pomocą zwłok?

Gdy Apple wprowadziło do sprzedaży iPhone'a 5s – swój pierwszy produkt wyposażony w Touch ID – wiele osób żartowało, że przestępcy zaczną ucinać swoim ofiarom palce, by móc odblokować ukradzione im telefony. W rzeczywistości takie działania nie przyniosłyby jednak pożądanych rezultatów. Mimo iż firma Apple nigdy nie zdradziła wszystkich szczegółów na temat działania swoich zabezpieczeń biometrycznych, to jednak z udostępnionych przez nią informacji wynikało, że Touch ID sprawdza nie tylko odcisk palca, ale też to, czy jest on przytwierdzony do żywej osoby. Wprawdzie dość szybko udowodniono, że technologię tę da się oszukać, jednak łatwiej zrobić to specjalnie spreparowaną atrapą, wykorzystującą odcisk zdjęty np. z powierzchni telefonu, niż uciętym palcem.

Te same zabezpieczenia, które uniemożliwiają odblokowanie iPhone'a za pomocą uciętego palca, działają także w przypadku zwłok. Dostęp do palców zmarłego (oczywiście zakładając, że są one całe i nie uległy jeszcze procesowi rozkładu) może jednak teoretycznie ułatwić wykonanie wspomnianej wcześniej atrapy, umożliwiającej oszukanie Touch ID. W takim przypadku trzeba jednak działać szybko. Touch ID posiada bowiem wbudowane zabezpieczenie, które wyłącza możliwość odblokowywania telefonu za pomocą odcisku palca, jeśli od ostatniego udanego odblokowania urządzenia minęło 48 godzin. Po upływie tego czasu telefon da się już odblokować tylko kodem. Prawdopodobnie właśnie to zabezpieczenie uniemożliwiło policji dostęp do telefonu zamachowca samobójcy, który 5 listopada 2017 roku zabił 26 osób w kościele w Sutherland Springs. Zmieszczenie się w dość wąskim oknie czasowym nie gwarantuje jednak jeszcze sukcesu. Kolejny problem stanowi zagadka, które palce zmarłego zapisane są w urządzeniu. Mimo iż Touch ID pozwala zeskanować i zapisać odciski wszystkich palców dłoni, nie wszyscy korzystają z tej opcji. Wiele osób zapisuje tylko jeden lub dwa odciski palców i odblokowuje telefon tylko za ich pomocą. Najlepiej byłoby więc pobrać odciski wszystkich palców i przygotować na ich podstawie dziesięć atrap. Niestety – Touch ID dopuszcza tylko 5 nieudanych prób rozpoznania odcisku palca, po czym prosi o wpisanie kodu (podobne zabezpieczenie działa również w Face ID). Jeśli więc okaże się, że najbardziej oczywiste wybory (kciuki i palce wskazujące obu dłoni) nie przyniosły rezultatów, pozostaje tylko liczyć na szczęśliwy traf.

W przypadku Face ID, wprowadzonego po raz pierwszy w modelu iPhone X, sytuacja wygląda już jednak nieco inaczej. System rozpoznawania twarzy nie sprawdza, czy ma do czynienia z żywą osobą, a jedynie, czy patrzy ona w kamerę, co ma uniemożliwić np. odblokowywanie telefonu przez skierowanie go na twarz śpiącego użytkownika (ustawienia te można zresztą zmienić, tak by odblokowanie nie wymagało patrzenia w obiektyw). By oszukać Face ID wystarczy więc teoretycznie otworzyć zmarłemu oczy (oczywiście ponownie zakładając, że proces rozkładu lub uszkodzenia nie zmieniły wyglądu twarzy), co jest dużo łatwiejsze i mniej czasochłonne niż zbieranie odcisków palców i tworzenie na ich podstawie atrap. Być może właśnie z tego powodu Apple zastosowało w Face ID nieco bardziej rygorystyczne zabezpieczenia czasowe niż w przypadku Touch ID. Oprócz blokady aktywowanej po 48 godzinach od ostatniego udanego odblokowania występuje tu jeszcze druga, która aktywuje się po 4 godzinach od ostatniego odblokowania, jeśli telefon przez przynajmniej 6,5 dnia nie był odblokowywany za pomocą kodu. Jeśli spełniony zostanie którykolwiek z podanych warunków, Face ID zostaje wyłączone, a telefon można odblokować tylko za pomocą kodu. W praktyce oznacza to więc, że im częściej ktoś korzysta z Face ID, tym mniejsze szanse na to, że po jego śmierci komuś uda się wykorzystać jego zwłoki do odblokowania telefonu.

Czy można zmusić kogoś do odblokowania telefonu za pomocą Touch ID lub Face ID?

Wyobraźmy sobie taką sytuację: policja łapie groźnego przestępcę i chce uzyskać dostęp do danych zapisanych w pamięci jego telefonu. Polskie prawo pozwala jednak odmówić składania zeznań obciążających samego siebie. Podobnie jest w wielu innych krajach, w tym m.in. w Stanach Zjednoczonych. Teoretycznie oznacza to, że policja ani sąd nie mogą żądać od nikogo podania kodu odblokowującego telefon, tablet czy inne urządzenie elektroniczne. Wydawać by się jednak mogło, że jeśli podejrzany korzysta z zabezpieczeń biometrycznych, nie musi on składać żadnych zeznań. Wystarczy, by przyłożył palec do czytnika lub spojrzał w obiektyw kamery. Niestety, tutaj też sytuacja nie zawsze jest taka prosta.

W 2015 roku głośno było o sprawie Davida Bausta, oskarżonego o napaść na swoją dziewczynę. Jako iż istniało podejrzenie, że nagrywał on całe zajście swoim iPhone'em 5s, sąd wydał nakaz odblokowania telefonu za pomocą jego odcisku palca. Okazało się jednak, że jest to niemożliwe, gdyż od ostatniego odblokowania upłynęło więcej niż 48 godzin. Rok później miała miejsce podobna sytuacja, w związku z zatrzymaniem Paytsar Bkhchadzhyan, 29-letniej kobiety podejrzanej m.in. o kradzież tożsamości. W jej przypadku nakaz został wydany bardzo szybko, bo w mniej niż godzinę od zatrzymania, jednak mimo to telefonu również nie udało się odblokować. Nie wiadomo dokładnie, co było przyczyną niepowodzenia. Podejrzana mogła celowo przykładać do telefonu palce, których odciski nie zostały zeskanowane, co spowodowałoby wyłączenie Touch ID po pięciu nieudanych próbach. Istnieje też oczywiście możliwość, że Bkhchadzhyan mówiła prawdę, zeznając, że telefon znaleziony w mieszkaniu jej chłopaka nie należał do niej. W żadnej z wymienionych spraw zabezpieczenia biometryczne nie ułatwiły więc uzyskania dostępu do telefonu. Obie jednak przyczyniły się do wywołania głośnych dyskusji na temat tego, czy sądy mogą zmuszać ludzi do odblokowywania telefonów zabezpieczonych tego typu technologią.

Wspomniane powyżej wpadki wymiaru sprawiedliwości nie oznaczają oczywiście, że nie da się zmusić kogoś do odblokowania telefonu używającego zabezpieczeń biometrycznych. Oczywiście jest to możliwe. Co gorsza na takie działania bardziej od przestępców narażeni są zwykli ludzie, padający ofiarą napadów, wykorzystywani przez oszustów lub mający pecha trafić na kogoś nadużywającego swojej władzy. Wiele osób wyłącza też zabezpieczenia biometryczne, podróżując za granicę, w obawie przed przymusowym odblokowywaniem telefonu podczas kontroli na lotniskach bądź przejściach granicznych, dopuszczalnym w niektórych krajach, w tym w Stanach Zjednoczonych. Firma Apple wprowadziła niedawno w swoich urządzeniach możliwość szybkiego wyłączenia zabezpieczeń biometrycznych poprzez pięciokrotne wciśnięcie przycisku power (modele od 5s do 7) lub jednoczesne przytrzymanie przycisku bocznego i jednego z przycisków głośności (modele 8 i X). Skorzystanie z tej funkcji nie tylko wyłącza Touch ID lub Face ID, ale też wyświetla na ekranie przycisk SOS, wybierający numer alarmowy i wysyłającej do wybranych kontaktów informacje o naszym aktualnym położeniu.

Czy można „ukraść" czyjąś twarz za pomocą iPhone'a?

Gdy Apple zaprezentowało po raz pierwszy Touch ID, wiele osób doszukiwało się w tej technologii spisku, mającego na celu gromadzenie odcisków palców użytkowników i przekazywanie ich odpowiednim agencjom rządowym. Ubiegłoroczna prezentacja Face ID wzbudziła wśród wielu widzów podobne podejrzenia, tym razem odnoszące się jednak do zbierania danych dotyczących twarzy użytkowników. W obu przypadkach Apple zdementowało oczywiście wszelkie plotki, wyjaśniając przy tym, że zarówno odciski palców, jak i mapy twarzy wykorzystywane do odblokowywania telefonu nigdy nie opuszczają samego urządzenia. Sęk w tym, że to nie Apple jest firmą, której powinniśmy się w tym przypadku obawiać.

TrueDepth, czyli przednia kamera iPhone'a X odpowiedzialna za działanie Face ID, wykorzystuje siatkę 30 tysięcy punktów do rozpoznawania kształtu twarzy użytkownika. Technologia ta ma spory potencjał i szkoda by było, gdyby wykorzystywano ją wyłącznie do odblokowywania smartfona. Nie dziwi więc, że Apple zdecydowało się w pewnym zakresie umożliwić korzystanie z TrueDepth firmom trzecim tworzącym aplikacje dla iOS. Zgodnie z wytycznymi Apple deweloperzy mogą wykorzystywać przednią kamerę iPhone'a X m.in. do tworzenia uproszczonej mapy twarzy użytkownika (mniej dokładnej niż ta wykorzystywana przez Face ID) i rozpoznawania ponad 50 różnych „min”, takich jak uniesienie brwi, mrugnięcie czy otwarcie ust. Najważniejsze jest jednak to, że Apple zezwala twórcom tego typu aplikacji na przechowywanie zebranych w ten sposób danych poza telefonem, czyli np. na własnych serwerach. Muszą oni jednak poinformować o tym użytkownika i zobowiązać się, że nie będą handlować zebranymi w ten sposób danymi. To dość rozsądne warunki. Pytanie tylko, czy wszyscy deweloperzy będą ich przestrzegać?

Oczywiście podejrzewanie każdej aplikacji wykorzystującej TrueDepth o próbę „kradzieży” twarzy użytkownika to ostra przesada. Większość programów tego typu dostępnych obecnie w App Store to produkty dużych firm, które nie ryzykowałyby dobrego imienia, zaufania klientów i dobrych stosunków z Apple tylko po to, by zbierać dane na temat twarzy użytkowników. Firma Apple znana jest zresztą z dość rygorystycznego sprawdzania aplikacji pojawiających się w App Store, a według jej zapewnień, te wykorzystujące kamerę TrueDepth mają być sprawdzane ze szczególną uwagą. Niemniej jednak co jakiś czas zdarzają jej się wpadki, w wyniku których do oficjalnego sklepu trafiają programy mogące zagrażać bezpieczeństwu i prywatności użytkowników. Istnieje więc ryzyko, że prędzej czy później zdarzy jej się przepuścić nieuczciwą aplikację mapującą twarz i/lub monitorującą zachowanie użytkownika za pomocą TrueDepth. Niestety, jedynym pewnym sposobem, by nie paść ofiarą takiego programu, jest po prostu unikanie podejrzanych aplikacji wykorzystujących kamerę TrueDepth. Tylko tyle i aż tyle, bo o ile osoby dorosłe są zwykle świadome zagrożeń i potrafią się powstrzymać od instalowania podejrzanych aplikacji, o tyle dzieci i młodzież raczej nie przejmują się takimi rzeczami, i pewnie nawet nie przeczytają ewentualnych informacji o tym, że dana aplikacja zapisuje zebrane dane na własnych serwerach.

Podsumowanie

Touch ID i Face ID, a także inne zabezpieczenia biometryczne stosowane przez konkurencyjnych producentów sprzętu elektronicznego, mają zarówno swoje zalety, jak i wady. Zdecydowana większość użytkowników tego typu rozwiązań nigdy nie będzie musiała zmierzyć się z problemami opisanymi w powyższym artykule, co jednak nie oznacza, że one nie istnieją. Na wszelki wypadek warto więc pamiętać o trzech rzeczach. Po pierwsze: najsłabszym elementem wszystkich zabezpieczeń jest przeważnie człowiek. Korzystając z Touch ID, Face ID lub dowolnych innych rozwiązań opartych na skanowaniu jakiejkolwiek części ludzkiego ciała, należy mieć świadomość ich wad i wiążącego się z nimi ryzyka, a przede wszystkim kierować się zdrowym rozsądkiem. Po drugie: warto nauczyć się, jak szybko wyłączyć zabezpieczenia biometryczne w swoim smartfonie. Nigdy nie wiadomo, kiedy nam się to może przydać. Po trzecie: odblokowując telefon za pomocą zwłok, trzeba działać szybko. Odrobina szczęścia też nie zaszkodzi.

Artykuł ukazał się pierwotnie w MyApple Magazynie nr 1/2018

Magazyn MyApple w Issuu