В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Специализирующаяся на услугах кибербезопасности компания Group-IB обнаружила первый троян для iOS, похищающий биометрические данные пользователей. Причём, фактически, люди сами передают злоумышленникам сканы своих лиц — приложение маскируется под легитимное.

Источник изображения: Group-IB

Получившая название GoldPixaxe вредоносная программа атаковала пользователей iOS в Тайланде. Троян маскируется под приложения госуслуг Тайланда и просит пользователей сфотографировать удостоверение личности, а также пройти процедуру сканирования лица. Также похожий случай зарегистрирован во Вьетнаме. Похищенные данные могут быть использованы для прохождения проверок в банках и государственных учреждениях при помощи технологии синтеза изображения Deep Fake.

Существует версия GoldPixaxe для Android. Троян не распространяется через официальные магазины приложений и не использует уязвимости операционных систем. Вместо этого злоумышленники обманом убеждают жертву установить вредоносное приложение на смартфон и предоставить необходимые им права доступа.

Group-IB подозревает, что троян разработан китайской хакерской группой GoldFactory, ранее промышлявшей созданием нацеленных на вьетнамских пользователей фальшивых банковских приложений.

Портал «Госуслуг» не занимается сбором и хранением биометрических данных пользователей платформы. Сообщение об этом появилось в Telegram-аккаунте Министерства цифрового развития России. Ранее распространялась новость о том, что «Тинькофф Банк» собирает и передаёт биометрию на «Госуслуги» без ведома клиентов.

Источник изображения: Госуслуги

В заявлении Минцифры уточняется, что по закону банки должны передавать собираемые биометрические данные граждан в единую биометрическую систему (ЕБС). «На «Госуслугах» биометрия не хранится! На портале есть лишь информация о биометрии, размещённой в ЕБС. Она отображается в личном кабинете портала. Граждане могут удалить биометрию в любой момент после передачи в ЕБС», — говорится в сообщении ведомства.

Ещё в сообщении Минцифры сказано, что банк должен уведомить владельца биометрии о передаче данных в ЕБС за 30 дней. Кроме того, после передачи данных в ЕБС банк должен их удалить. При необходимости пользователи также могут удалить свои данные из базы ЕБС. Сделать это можно из личного кабинета на портале «Госуслуг» или посредством отзыва согласия на размещение в ЕБС у оператора платформы, которым является Центр биометрических технологий.

В ведомстве напомнили, что сдача и сбор биометрии является делом исключительно добровольным. Для регистрации данных в ЕБС через отделение банка или мобильное приложение гражданин должен дать своё согласие, что закреплено на законодательном уровне.

Считается, что рисунок линий на подушечках пальцев никогда не повторяется даже у одного человека, не говоря о других людях. На этом строится вся криминалистика и биометрические датчики. Группа исследователей решила проверить это утверждение с помощью обучаемой нейросети и с удивлением обнаружила, что отпечатки пальцев вовсе не так уникальны, как считалось.

Чем «горячее» область, тем больше сходства с отпечатками других пальцев одного человека. Источник: Gabe Guo/Columbia Engineering

Это вряд ли заставит заново пересмотреть уголовные дела, где основными уликами были оставленные на месте преступления отпечатки пальцев. Но это может помочь с делами, где нет полного набора отпечатков, а новые всё всплывают и всплывают.

Учёные из Колумбийского университета с помощью нейросетей, обычно используемых для распознавания лиц, проанализировали отпечатки пальцев 60 тыс. граждан США из открытой правительственной базы. После обучения нейросеть с вероятностью 77 % смогла идентифицировать другие отпечатки пальцев человека по одному из известных ей отпечатков. Сети достаточно было увидеть один отпечаток пальца, чтобы она сразу же представила все остальные.

Новый анализ отпечатков пальцев по открытой базе с усовершенствованным алгоритмом позволил найти общие моменты, присущие всем отпечаткам пальцев одного человека. Эти особенности рисунка папиллярных линий сосредоточены в центре подушечек. На каждом пальце одного человека они имеют много одинаковых особенностей — изгибов и поворотов — сообщили учёные, что раньше никем не анализировалось.

Со временем нейросеть стала лучше определять, когда два разных отпечатка принадлежат одному и тому же человеку. Хотя каждый отпечаток на одной руке по-прежнему уникален, между ними было достаточно сходства, чтобы искусственный интеллект смог сопоставить и находить общее.

Алгоритм и методика, предложенные учёными, пока не подходят для уверенной идентификации человека лишь по одному отпечатку пальцев с помощью сканирования любого другого. Настоящее чудо может произойти, если нейросети скормить данные о миллионах и миллиардах людей. Но у скромного коллектива учёных нет доступа к таким базам. Разве что их методикой воспользуются заинтересованные государственные структуры.

В Москве на пешеходном переходе Бережковской набережной провели испытания прототипа светофора, оборудованного биометрической камерой с поддержкой распознавания лиц — он фиксирует нарушения правил дорожного движения. Об этом рассказал журналу «Безопасность дорожного движения» начальник столичной Госавтоинспекции Александр Быков.

Источник изображения: Tumisu / pixabay.com

Руководитель ведомства сообщил: «Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения».

Пока светофор не получится использовать для автоматизированного привлечения нарушителей к административной ответственности — для этого потребовалось бы собирать биометрию у всех граждан. Но такой сценарий был бы возможен, если бы сдача биометрической информации стала в России не правом, а обязанностью. А для этого потребовалось бы внести изменения в действующее законодательство, отметил Быков.

Источник изображения: mvd.ru

Минувшим летом Росстат подтвердил право россиян отказаться от сбора и хранения биометрических данных. Оформившим такой отказ становятся недоступными связанные с биометрией услуги, включая оплату с идентификацией по лицу или голосу, но отказ можно отозвать. Согласие на обработку биометрических персональных данных подаётся через личный кабинет на портале Единой биометрической системы (ЕБС) — службы, позволяющей получать услуги удалённо через идентификацию по голосу или лицу.

Стало известно, что Wildberries и сервисы «Яндекса» начали тестировать функцию оплаты товаров взглядом. Об этом пишут «Известия» со ссылкой на гендиректора Центра биометрических технологий (ЦБТ) Владислава Поволоцкого.

Источник изображения: geralt / Pixabay

Он также добавил, что организация работает над тем, чтобы технология оплаты покупок взглядом как можно быстрее стала доступна более широкому кругу пользователей. «С Ozon также активно общаемся — рассчитываю, что вскоре выработаем совместное решение», — приводит источник слова господина Поволоцкого.

Созданное в ЦБТ решение не требует привязки карты на самой онлайн-площадке, благодаря чему решается проблема случайных покупок, например, когда дети из аккаунта своих родителей приобретают товары на сотни тысяч рублей. Отмечается, что биоэквайринг позволит полностью исключить такой сценарий. «Много интересных проектов будет с маркетплейсами — например, мы обсуждаем историю с получением заказов по биометрии», — добавил гендиректор ЦБТ.

Напомним, ЦБТ является оператором Единой биометрической системы. Организацию создали по указу президента России. Учредителями стали ПАО «Ростелеком», Минцифры и ЦБ РФ. Компания обеспечивает сбор, хранение, обработку и проверку биометрических данных. Специалисты компании разрабатывают и развивают сопутствующие технологии. Регулирующий предоставление услуг по биометрии закон был принят в России 29 декабря 2022 года.

Соцсеть X (бывшая Twitter) обновила политику конфиденциальности, добавив пункты, касающиеся сбора биометрических данных пользователей в целях их идентификации, а также информации о трудоустройстве и образовании пользователей, чтобы рекомендовать им потенциальные вакансии и делиться ею с потенциальными работодателями, а также показывать «более релевантную рекламу».

Источник изображения: X

«С вашего согласия мы сможем собирать и использовать вашу биометрическую информацию в целях безопасности, защиты данных и идентификации», — говорится в новой политике конфиденциальности компании. В ней не указано, о какой именно биометрической информации идёт речь, и как её предполагается использовать.

Соцсеть также информировала пользователей о намерении собирать информацию о истории их трудоустройства и образовании. «Мы можем собирать и использовать вашу личную информацию (например, вашу историю трудоустройства, историю образования, предпочтения в области трудоустройства, навыки и способности, активность и вовлеченность в поиске работы и т. д.), чтобы рекомендовать вам потенциальные вакансии и делиться ими с потенциальными работодателями … и показывать вам более релевантную рекламу», — говорится в обновлённой политике конфиденциальности. Напомним, что на прошлой неделе соцсеть запустила бета-тестирование платформы X Hiring, предназначенной для размещения вакансий верифицированными компаниями.

Предыдущая редакция политики конфиденциальности социальной сети, действующая до 29 сентября, не включает пункты о сборе биометрических данных или истории работы и трудоустройства пользователей.

В прошлом месяце против соцсети X был подан коллективный иск с обвинением её в незаконном сборе, хранении и использовании биометрических данных жителей Иллинойса без их согласия, пишет Bloomberg. Согласно иску, X «не проинформировала должным образом лиц, которые взаимодействовали (сознательно или нет) с Twitter, о том, что она собирает и/или хранит их биометрические идентификаторы на каждой содержащей лицо фотографии, загружаемой в Twitter».

В скором времени в браузере Google Chrome появится 5 новых функций для упрощения работы с паролями. Менеджер паролей Chrome получит отдельную вкладку в настройках , возможность создавать заметки к паролям, упрощённый импорт из других менеджеров паролей, совместимость с iOS и самое главное — биометрическую аутентификацию.

Источник изображений: Google

Менеджер по продуктам Патрик Неппер (Patrick Nepper) написал в блоге компании: «Менеджер паролей Google мгновенно генерирует уникальные пароли и автоматически заполняет их при входе в аккаунт Google в Chrome с компьютера, устройства Android или iOS. Сегодня мы представляем пять новых функций, которые сделают менеджер паролей ещё более безопасным, полезным и простым в использовании».

Менеджер паролей Google получит выделенное место в настройках Chrome, что упростит переход к сохраненным учетным данным в интернете или изменению настроек паролей. Перейти к нему можно будет, выбрав настройку «Менеджер паролей» в меню Chrome или открыв настройки Chrome и выбрав раздел «Автозаполнение и пароли». Для еще более быстрого доступа можно будет даже создать специальный ярлык на рабочем столе Windows.

Следующая новинка — биометрическая аутентификация. Менеджер паролей Google уже поддерживает эту функцию на мобильных устройствах, но теперь она появится и на настольных компьютерах, так что пользователи ПК смогут проходить аутентификацию с помощью Windows Hello.

С заметками о паролях пользователь сможет добавить примечание к любому паролю, сохранённому в менеджере паролей Google. Это может быть полезно, если используется несколько учётных записей для одного сайта или необходимо сохранить PIN-код, название аккаунта или любые другие данные, связанные с учётной записью.

Долгое время в Chrome были ограниченные возможности импорта паролей. Теперь появится возможность импортировать пароли из других менеджеров паролей в формате CSV с помощью настольной версии Chrome. Инструкции по экспорту из различных менеджеров паролей можно найти на сайте компании.

Наконец, функция Password Checkup появится на устройствах с iOS. Данная функция обеспечения безопасности сохранённых паролей есть на настольных компьютерах и в Android. Она сообщит, если какой-либо из них был взломан, является слабым или используется повторно, и поможет исправить возникшие проблемы.

«Сбер», обладающий самой многочисленной сетью терминалов безналичной оплаты в стране, начинает развёртывание их обновлённой версии — она получит поддержку биометрии. Это значит, что для оплаты покупок достаточно будет просто улыбнуться на терминал, выяснили «Известия».

Источник изображения: sberacquiring.ru

О внедрении терминалов оплаты с поддержкой биометрии «Известиям» рассказал управляющий директор подразделения «Эквайринг» в «Сбере» Сергей Шубочкин. Сегодня сеть терминалов банка составляет 2 млн единиц по всей стране — на них приходится до 70 % розничных платежей, и это самая крупная сеть в стране, сообщили в Ассоциации компаний розничной торговли. Пока технология остаётся в стадии отладки, и ещё рано говорить, в какой торговой сети она появится впервые.

Лидером технологий биометрической оплаты является Китай, активно ведутся работы в Индии, ОАЭ и Саудовской Аравии. В «Сбере» экспериментировали с различными технологиями оплаты и знают, что биометрия является достаточно сложным направлением. К примеру, необходимо убедиться, что на камеру улыбается человек, а не его фотография. Для защиты от подобных мошенничеств используются, например, 3D-камеры: так, Alibaba уже развернула в Китае 300 тыс. 3D-терминалов. В «Сбере» их стоимость нашли неприемлемой, поэтому ограничились 2D-камерами — первая партия уже закуплена, а развёртывание сети устройств нового образца намечено на этот год. Стоит отметить, что свой парк в 2 млн терминалов «Сбер» формировал ещё с 2015 года, поэтому время обновлять оборудование уже настало.

Другие банки относятся к новой инициативе лидера рынка по-разному. В «Абсолют Банке» согласились, что СБП и карты «Мир» развиваются очень активно, а Единая биометрическая система (ЕБС) наполняется медленно, поэтому на активное внедрение биометрических платежей в ближайшее время рассчитывать не приходится. «Россельхозбанк» тем временем и сам готовит ряд связанных с биометрией проектов. В ПСБ отметили, что направление является перспективным, и оплата без телефона и карты — это очень удобно.

Ещё с сентября 2021 года оплата по лицу работает в московском метро. Сегодня к системе Face Pay подключили 740 турникетов, а зарегистрировались в ней уже более 320 тыс. человек, совершившие более 60 млн проходов. При такой загруженности лучшей проверкой работоспособности системы оказывается постоянная работа камер: они могут покрываться пылью, или на них сбивается фокусировка, когда их задевают пассажиры, и этим воздействиям приходится противостоять. Постоянно совершенствуется алгоритм распознавания — его адаптируют под разное время суток и разные времена года.

Начиная с сегодняшнего дня, пользователи Google могут отказаться от паролей и кодов двухэтапной аутентификации при входе в свою учётную запись. Решение на основе технологии криптографических ключей Passkeys требует для входа лишь предварительно аутентифицированное устройство, например смартфон.

Passkeys — более безопасная и удобная альтернатива паролям, которую продвигают Google, Apple, Microsoft и другие технологические компании, входящие в FIDO Alliance. Технология позволяет заменить традиционные пароли и SMS-верификацию, с помощью PIN-кода или биометрической аутентификацией на устройстве, например, отпечатком пальца или Face ID. Passkeys не передает биометрические данные Google, или кому-либо ещё, что и обеспечивает безопасность, поскольку нет пароля, который может быть украден.

Функция доступна на устройствах под управлением iOS 16, Android 9 и более новых. При входе в систему с компьютера запрос на проверку биометрии будет отправлен на любой совместимый девайс, связанный с аккаунтом владельца. Если такового под рукой не оказалось, или он утерян, Google позволит получить доступ с помощью опции «Использовать пароль с другого устройства» и деавторизовать ключи со всех аппаратов.

В обозримом будущем аккаунты Google будут продолжать поддерживать существующие методы входа, наряду с Passkeys. Ведь далеко не все люди имеют устройства, поддерживающие биометрию. Но Google планирует поощрять пользователей к переходу уже сейчас и будет тщательно следить за тем, как меняются их привычки для входа в систему.

В декабре прошлого года браузер Google Chrome получил поддержку passkey, но сайты и сервисы, поддерживающие технологию, все еще относительно редки. На специальной странице 1Password собран немногочисленный список. В ближайшее время поддержку должна внедрить и Apple, как один из разработчиков стандарта.

Президент России Владимир Путин сегодня подписал закон, которым устанавливается запрет на принудительный сбор биометрических персональных данных у граждан и дискриминацию в отношении тех, кто отказался от их сдачи. Документ опубликован на официальном интернет-портале правовой информации.

Источник изображения: geralt/Pixabay

Помимо введения запрета на принуждение к сдаче биометрической персональной информации и хранение геномной информации, закон ограничивает перечень собираемой биометрии только двумя типами данных: изображением лица и образцом голоса гражданина. Также законом оговорено, что сбор биометрии несовершеннолетних можно проводить только с согласия родителей.

Согласно закону, отказ гражданина от идентификации и/или аутентификации с использованием его биометрии не может служить основанием для отказа ему в предоставлении услуг, в том числе государственных и муниципальных, продаже товара или выполнении работ. Любая связанная с этим дискриминация или отказ в предоставлении услуг будет наказываться.

Гражданин может оформить отказ от сдачи биометрии в письменной форме через отделение МФЦ, а также направить оператору единой биометрической системы требование об удалении, блокировании и уничтожении биометрических персональных данных и/или векторов единой биометрической системы.

Также законом предусмотрена возможность контроля за использованием биометрических персональных данных через портал «Госуслуги».

Закон о порядке работы единой системы биометрических персональных данных в РФ был принят в третьем чтении Госдумой 21 декабря, а 23 декабря его одобрил Совет Федерации РФ.

Сообщается, что на eBay свободно продавались биометрические сканеры с данными множества американских военных, гражданских сотрудников иностранных государств, а также боевиков. На картах памяти сканеров хранились отпечатки пальцев, сканы радужной оболочки глаз, фотографии, имена и описания людей в основном из Ирака и Афганистана. Продавцы сканеров поленились удалять эту информацию, чем поставили под угрозу здоровье и жизнь множества людей.

Источник изображения: Pixabay

Эксперимент с покупкой сканеров на eBay провели немецкие специалисты по безопасности из группы Chaos Computer Club, возглавляемой Матиасом Марксом (Matthias Marx). Они купили на площадке шесть сканеров и почти все из них по цене менее $200. Провести эксперимент специалисты решили после сообщений в прессе о множестве оставленных в Афганистане биометрических сканеров с данными сотрудничавших с американскими военными граждан этой страны.

Как позже сообщили исследователи, они были «шокированы» результатами. На карте памяти одного из сканеров они обнаружили имена, сведения о национальности, фотографии, отпечатки пальцев и сканы радужной оболочки глаз 2632 человек. Согласно метаданным, устройство использовалось в Афганистане вблизи Кандагара летом 2012 года. Другой из купленных сканеров использовался в Иордании в 2013 году и содержал отпечатки пальцев и сканы радужной оболочки глаз небольшой группы американских военнослужащих.

«Беспокоит то, что [американские военные] даже не пытались защитить данные, — сказал Маркс в интервью NY Times. — Их не волновал риск, или они его игнорировали». Данные легко можно было удалить с карты памяти, но за десять лет этим никто не озаботился.

Представители Министерства обороны США не смогли подтвердить подлинность обнаруженной на картах биометрических сканеров информации и попросили передать им их для анализа.