על פי הדיווחים, מאסטרקארד בודקת כרטיסים המשלבים חיישן טביעת אצבע, שנועדו להציע חלופה נוחה יותר להזנת PIN. לעומת זאת, בניגוד ל-Apple Pay, הכרטיסים יהיו חסרים סדרה של תכונות אבטחה חשובות.
אדִוּוּחַמאת Cherlynn Low עבורEngadgetציין כי הכרטיסים הביומטריים החדשים נבדקים כעת בדרום אפריקה, וכי מאסטרקארד מקווה להפיץ אותם ברחבי העולם עד סוף 2017.
Low טען כי "טביעות האצבעות שלנו מחליפות במהירות את מספרי ה-PIN והסיסמאות כאמצעי העיקרי שלנו לפתיחת הנעילה של הטלפונים, הדלתות והכספות שלנו", ואמר, "הן נוחות, ייחודיות ובסופו של דבר מאובטחות יותר מססמאות וחתימות שניחושות או מזויפות בקלות. אז הגיוני שחיישני טביעות אצבע באים להגן על כרטיסי האשראי והחיוב שלנו".
עם זאת, כל חיישני טביעות האצבע אינם דומים. Low תיאר את יישום Mastercard ככרוך בנסיעה ל"מרכז הרשמה", שבו משתמש יכול לאחסן הדפסה אחת או שתיים שונות (שלו) על הכרטיס שלו.
"תבנית דיגיטלית מוצפנת של טביעת האצבע שלך מאוחסנת בשבב ה-EMV של הכרטיס", ציין Low. הכרטיסים החדשים מאמתים כאשר טביעת אצבע תואמת מסופקת על ידי המשתמש לאחר הכנסת הכרטיס למסוף שבב אנד סיכה (לא מוחלף). חיישן הכרטיס גם לא יעבוד בשימוש בכספומט שבולע את הכרטיס.
ההבדל הבולט ביותר בין כרטיס אשראי עם חיישן לבין Apple Pay הוא יתרון הנוחות של Apple Pay על פני כרטיסי "צ'יפ אנד סיכה": אין צורך להכניס שום דבר. זמן העסקה הוא כמעט מיידי, לעומת (במיוחד בארצות הברית) תקופה ארוכה של הכנסת כרטיס והמתנה להשלמת העסקה.
Apple Pay הוא קודם כל מהיר, אך חשוב מכך מאובטח
עם זאת, היישום המדווח של מאסטרקארד שונה בתכלית בהמדיניות אבטחהבהשוואה ל-Touch ID ו-Apple Pay באייפון ובאייפד וב-MacBook Pro החדש. ביישום של אפל, טביעות אצבע אינן מאוחסנות במכשיר כלל.
במקום זאת, מידע מייצג שיכול לאמת טביעת אצבע של משתמש מועתק בכיוון אחד ל-Secure Enclave בתוך מעבד היישומים. כאשר משתמש נוגע בחיישן Touch ID, נתוני ההדפסה נשלחים ל-Secure Enclave ומשווים כדי לקבוע אם הם מתאימים. אם כן, היא מאשרת את העסקה כמערכת מחשוב נפרדת.
אם הדפסה כוזבת מסופקת יותר מדי פעמים, Apple Pay ואימות ה-Touch ID מושבתים, והמשתמש חייב לבטל את נעילת המכשיר באופן ידני עם קוד גישה. אם לא נעשה שימוש ב-Touch ID תוך 48 שעות, האימות מאופס גם הוא, ומצריך שוב קוד גישה.
בנוסף, אם המכשיר מאבד את החשמל, מערכת האימות גם כבויה עד שישתמש בקוד סיסמה לביטול נעילת המכשיר. כל צעדי הזהירות הללו ננקטים כדי להגן על המשתמש מפני ניסיונות שווא חוזרים ונשנים במכשיר גנוב.
חיישני טביעות אצבע אינם זהים
בניגוד לאייפון, שבב ה-EMV של Mastercard מוטבע תמיד כבוי. אין סוללה בכרטיס. במקום זאת, הוא מופעל רק כאשר הוא מוכנס לקורא כרטיסים, המספק חשמל במהלך העסקה.
זה כמובן אומר שנתוני ההדפסה אינם מושבתים כאשר החשמל אובד (מכיוון שהם אובדים כל הזמן כאשר הם לא בשימוש), כלומר כרטיס שאבד עלול להיות מותקף עם הדפסה כוזבת בכל נקודה בין אובדן לגילוי ודיווח גָנוּב. זה אף פעם לא מתאפס.
בנוסף, פחות ברור כיצד השבב מאחסן את הנתונים. קוראי טביעות אצבע המשמשים במכשירים המריצים את אנדרואיד או Microsoft Windows של גוגל - ונבנו על ידי יצרניות חומרה מובילות, כביכול טכנולוגיות כולל סמסונג, HTC, Toshiba ולנובו - אינם פועלים לפי אותה מדיניות אבטחה שאפל יצרה עבור Touch ID ו-Apple Pay.
מי צריך עובדות כשאתה יכול פשוט להיות עצבני?
חיישני טביעת אצבע של אנדרואיד היו בלגן אבטחה
בתחילה, טלפונים אנדרואיד עם חיישני טביעת אצבע (כולל HTC One Max ו-Samsung Galaxy S5) אחסנו נתוני טביעות אצבע בצורה לא אחראית באופן שאפשר לתוקף לחלץ נתוני טביעת אצבע מאחסון המכשיר.
סמסונג גלקסי S5 טענה לחיישן טביעת אצבע "בדיוק כמו אייפון", אלא שהוא היה איטי ולא אבטח את ההדפסות או הנתונים של המשתמשים
חברת אבטחה ElcomSoftצייןש-HTC אחסן טביעות אצבע ב"מפת סיביות לא דחוסה, לא מוצפנת ולא מוגנת בכתובת /data/dbgraw.bmp. מפתחים לא טרחו להקצות לקובץ זה הרשאות מלבד 0666 (ניתן לקריאה בעולם), כלומר כל תהליך, אפילו ללא הרשאות שורש, יכול בקלות לקרוא ולחלץ טביעות אצבע".
עם אנדרואיד 6, גוגל החלה ליישם כמה תקני מינימום על מדיניות טביעות אצבע כשהציגה את "Nexus Imprint" כתשובה ל-Touch ID. עם זאת, בעוד נראה שגוגל עומדת בסטנדרטים שלה, מומחי אבטחה ב-ElcomSoft תיארו אבטחת טביעות אצבע אחרות של אנדרואיד כ"בלתי עקבית באופן נרחב".
בין הבעיות: יצרניות חומרת אנדרואיד יכולות לבנות טלפונים המאפשרים ביטול נעילה של טביעת אצבע לאחר אתחול מחדש; אין להם זמן תפוגה מחייב של 48 שעות כמו Touch ID של אפל.
בעוד שמכשירי Android 6 ואילך מודרניים מחויבים להשתמש בסביבת ביצוע מהימנה לאחסון מידע על טביעת אצבע, כל תוקף שיכול לסכן את ליבת מערכת ההפעלה יכול לבטל את נעילת המכשיר ולפענח את הטלפון כולו. זה לא אפשרי ב-iOS.
החלפת חיישן Touch ID והחלפתו בחיישן לא מורשה מעבדת מכשיר iOSלא מסוגל להשתמשTouch ID או Apple Pay. זה לא המקרה באנדרואיד, שם ניתן להתקין חיישן בסיכון.
בנוסף, רק 36 אחוזים מבסיס האנדרואיד המותקן כרגע אפילו משתמש בגרסה מודרנית למדי של אנדרואיד (מאז 6.0) שנועדה להדריך יצרני חומרה לבנות מערכות טביעות אצבע מאובטחות יותר. ושל גוגלהצפנת דיסק מלאההיישום הוא כל כך איטי (וגם) שהוא בדרך כלל כבוי, מה שהופך את כל האבטחה של חיישן טביעת האצבע לחסרת ערך.
כמו כן, מחשבי Windows הוציאו חיישני טביעות אצבע חסרי ערך
מספר שנים לפני שאפל הפכה את Touch ID לפופולרית במכשירי אייפון החל משנת 2013 - מגובה במדיניות אבטחה חזקה - סדרה של יצרניות PC הנפיקו מחשבים ניידים של Windows עם חיישני טביעת אצבע של UPEK שהוגדרו כמציעים אבטחה חלופית חזקה: Acer, Amoi, ASUS, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony ו-Toshiba.
חיישני טביעות אצבע במחשבים ניידים של Windows לא היו מאובטחים
עם זאת, חוקרת האבטחה אולגה קוקשארובהדיווחשהחיישן "מאחסן סיסמאות של חשבון Windows ברישום 'כמעט בטקסט רגיל, בקושי מקושקש אבל לא מוצפן'", וכתוצאה מכך "שום דבר מלבד חור אבטחה גדול וזוהר שפוגע (ולמעשה הורס) את כל מודל האבטחה של חשבונות Windows. "
יש לקוות שהמוח שמאחורי כרטיסי ה-EMV שבב ו-Pin האיטיים והמסורבלים להפליא, זהירים יותר באבטחה מאשר סמסונג ולנובו. בכל מקרה, אין סיכוי שהם יכולים ליישם את אותו סוג של מדיניות אבטחה שאפל פיתחה עבור Touch ID ו-Apple Pay, פשוט בגלל שכרטיסי אשראי אינם סמארטפונים עם הפעלה עצמית.
