Руководитель технологической финансовой фирмы 11:FS Мэган Джонсон рассказала о потенциальной угрозе безопасности, связанной с функцией Live Photos, которая поддерживается в iPhone 6s и iPhone SE. С помощью живых фотографий можно авторизоваться в приложениях и сервисах, использующих в качестве метода идентификации лицо человека.

Эксперт заявила журналистам:

— Достаточно включить функцию биометрической авторизации. После входа в приложение, оно просит моргнуть несколько раз, чтобы система записала это. У нас есть живая фотография, на которой я моргаю. Мы нажали на Live Photo, на которое смотрит камера смартфона с включенным определением по лицу. После 5-ти секунд произошел вход.


Таким образом, исследователям удалось авторизоваться в приложении одного из крупнейших банков США, и еще одном приложении менее известного банка Великобритании. Они не сообщили названия финансовых институтов, чтобы не подвергать риску обычных пользователей. Потенциальному злоумышленнику достаточно получить Live Photo с лицом жертвы, чтобы авторизоваться под его именем и совершить перевод.

Неясно, насколько корректно проводился эксперимент: если Джонсон авторизовалась в своем банковском счете с помощью собственного смартфона, тогда это не уязвимость. Хакеру, чтобы проделать то же самое, пришлось бы украсть смартфон, взломать его защиту, и только после этого он смог бы попытаться получить доступ к счету с помощью Live Photo.

Ситуация, при которой хакерам достаточно получить Live Photo жертвы, чтобы взломать банковский счет, может быть разве что исключением из правил. Большинство банков используют несколько факторов для идентификации, например, пароль (PIN-код) и SMS-подтверждение. Даже если программа или сервис поддерживают биометрическую авторизацию, чаще всего они также требуют ввести пароль, или позволят совершить перевод только из подтвержденного заранее устройства.

Не стоит забывать, что новые технологии открывают дополнительные возможности для злоумышленников. Поэтому с любой новинкой стоит обходиться с умом.