The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака BrutePrint для разблокировки Android-смартфона через подбор отпечатков пальцев

22.05.2023 13:06

Группа исследователей из компании Tencent и Чжэцзянского университета (Китай) представила технику атаки BrutePrint, позволяющую обойти методы защиты от подбора отпечатков пальцев, реализованные в устройствах на базе платформы Android. В штатном режиме подбору отпечатков пальцев мешает ограничение на число попыток - после нескольких неудачных попыток разблокировки устройство приостанавливает попытки биометрической аутентификации или переходит к запросу пароля. Предложенный метод атаки позволяет организовать бесконечный неограниченный цикл подбора.

Эффективность атаки продемонстрирована для 10 Android-устройств разных производителей (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei), на подбор отпечатка пальца для разблокировки которых потребовалось от 40 минут до 36 часов. Атака требует физического доступа к устройству и подключения к плате специального оборудования, стоимость изготовления которого оценивается в 15 долларов. Например, метод может быть использован для разблокировки изъятых, похищенных или потерянных телефонов.

При проведении атаки могут использоваться две неисправленные уязвимости в инструментарии SFA (Smartphone Fingerprint Authentication) в сочетании с отсутствием должной защиты протокола SPI. Первая уязвимость (CAMF, Cancel-After-Match-Fail) приводит к тому, что в случае передачи некорректной контрольной суммы данных отпечатка проверка сбрасывается на финальной стадии без регистрации неудачной попытки, но с возможностью определения результата. Вторая уязвимость (MAL, Match-After-Lock) позволяет по сторонним каналам определить результат проверки, если система биометрической аутентификации переведена в режим временной блокировки после определённого числа неудачных попыток.

Указанные уязвимости можно эксплуатировать через подключение специальной платы между датчиком отпечатков пальцев и TEE-чипом (Trusted Execution Environment). Исследователями выявлена недоработка в организации защиты данных, передаваемых по шине SPI (Serial Peripheral Interface), позволившая вклиниться в канал передачи данных между датчиком и TEE, и организовать перехват снятых отпечатков и их подмену на собственные данные. Кроме организации подбора, подключение через SPI даёт возможность произвести аутентификацию по имеющейся фотографии отпечатка жертвы без создания его макета для датчика.



После снятия ограничений на число попыток для подбора был использован словарный метод, основанный на использовании коллекций изображений с отпечатками пальцев, попавших в открытый доступ в результате утечек, например, в своё время были скомпрометированы БД биометрической аутентификации Antheus Tecnologia и BioStar 2. Для повышения эффективности работы с разными изображениями отпечатков и увеличения вероятности ложной идентификации (FAR, False Acceptance Rate) задействована нейронная сеть, формирующая унифицированный поток данных с отпечатками в формате, совпадающем с форматом датчика (симуляция, что данные отсканированы родным датчиком).



  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: Уязвимость в Android, позволяющая обойти блокировку экрана
  3. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
  4. OpenNews: Метод создания фиктивных отпечатков пальцев для разблокировки смартфонов
  5. OpenNews: Техника использования 3D-принтера для обхода аутентификации по отпечаткам пальцев
  6. OpenNews: Метод клонирования отпечатков пальцев при помощи лазерного принтера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59174-bruteprint
Ключевые слова: bruteprint, fingerprint
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (71) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alladin (?), 13:18, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    автор яукча, предлагает зашифрованный spi..

    Как бы если ты имеешь доступ у материнской плате то spi это последнее интересующее..

     
     
  • 2.2, Жироватт (ok), 13:35, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По фронту или по спаду шифровать будем? Или CLK запускать только после разрешения в страшном Кей-Би-Джи?
     
     
  • 3.53, Аноним (-), 19:57, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать шифрованию большая разница, SPI это или что-то еще. Но при физическом доступе к системе его надолго не хватит.
     
  • 2.4, Бывалый смузихлёб (?), 13:44, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну есть у тебя заблокированный аппарат с доступом к потрохам и тебе очень хотелось бы его норм разблокировать, а не делать полный сброс, ведь там много интересных тебе данных. И что с того ?

    Другое дело, что
    > в случае передачи некорректной контрольной суммы данных отпечатка проверка сбрасывается на
    > финальной стадии без регистрации неудачной попытки, но с возможностью определения результата

    не является багом - это, очевидно, целенаправленно-созданная дыра для службистов и прочих, поэтому закрывать её не спешат - ведь иначе придётся придумывать что-то другое

     
     
  • 3.5, Аноним (5), 13:48, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно например просто дампнуть память. И искать нужный файл если он не зашифрован. Но если нужен не файл, а нужен интерфейс и доступ к нему то сабж гораздо удобнее.
     
     
  • 4.6, вй (?), 14:14, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В телефонах, выпущенных за последние 10 лет, всегда используется шифрование. Просто дамп памяти невозможно расшифровать, даже зная правильный пароль от телефона.
     
     
  • 5.7, Аноним (5), 14:35, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ага это как шифрование от майкрософт bitlocker, которое легко обходится если у тебя есть хотя бы один файл который точно есть в зашифрованном разделе. Я конечно ни на что не намекаю, но если у тебя есть дамп то ты с ним можешь сколько угодно долго возится если очень надо.
     
     
  • 6.9, Аноним (9), 14:43, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ух ты. Где почитать про это?
     
     
  • 7.10, Аноним (5), 14:46, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В интернете.
     
     
  • 8.70, Аноним (9), 21:59, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не находится Так у тебя под рукой ссылка наверное, или ключевые слов помнишь по... текст свёрнут, показать
     
  • 7.16, пох. (?), 15:53, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да в разделе ненаучной фантастики
     
  • 6.31, MaleDog (?), 22:48, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если бы это работало, то никаких вирусов-шифровальщиков не существовало бы как класса, ведь ключ шифрования всегда восстанавливался бы по наличию одного оригинального файла из бэкапа и компьютера достаточной мощности, чтобы перебрать все варианты. На практики описанный вами способ работает только в программе Штирлиц из начала нулевых, угадывающей правильную кодировку текста для кириллицы, в том числе перебирающую варианты последовательностей из нескольких кодировок, но никак не для современного шифрования.
     
     
  • 7.39, Аноньимъ (ok), 01:20, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы путаете шифрование и шифрование.
     

  • 1.3, Аноним (5), 13:43, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Что значит недоработка. Очень даже доработка и вообще фича, а не баг. Здесь нечего смотреть расходимся.
     
  • 1.8, Аноним (8), 14:43, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Если телефон умыкнули у фраера ушастого, то при внимательном рассмотрении оказывается что он весь заляпан отпечатками нужных пальцев. А в телефоне банк онлайн. А на счету фраера бабосы...

    Ну все! Опять начнут смартфоны тырить и отжимать. :)

     
     
  • 2.17, пох. (?), 15:53, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ну так скажи этим ребятам спасибо - палец тебе не отрежут теперь.

     
     
  • 3.27, Аноним (27), 18:18, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем, если мне угрожают палец отрезать, то я им и так всё разблокирую и отдам, даже если он на палец залочен не был. Они, конечно, потом сядут далеко и надолго, но это уже совсем другая история...
     
     
  • 4.32, vitektm (?), 22:54, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А кто сказал что им нужны свидетели ?
     
  • 4.38, Ivan_83 (ok), 01:16, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты правда не понимаешь разницу!?

    С такой корявой бытовой биометрией (когда охрана не прибегает при виде что неживое или что то не то прикладывают) юзкейс простой: сначала тебя по башке, потом палец чик-чик, и дальше ты не нужен.

    В случае пароля у тебя чуть больше шансов, хотя бы успеть закричать и всё такое, потому что пароль из трупа или безсознательной туши не извлекается и соотвественно никакого профита не выйдет если сначала мокруху сделать.

     

  • 1.11, Аноним (11), 15:06, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    короткий пересказ новости: покупайте технику apple и не дурите голову
     
     
  • 2.12, анон (?), 15:20, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У апле мобила сама индексирует, что изображено на любых открытых и загруженных картинках, и отправляет в госконтору, чтобы детей защищать. Даже патент есть.
     
     
  • 3.15, Аноним (11), 15:40, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    зато если аппарат украдут - никто и никогда его не разблокирует, а вот эти все "отправляет в госконтору, детей защищать" да чхать мне на это, эта данные никогда нигде не всплывут, кроме точечных ситуаций "когда надо", и с этими ситуациями я полностью согласен и поддерживают их двумя руками и ногами. Ни один производитель кроме эппле не додумался нормально сделать защиту от кражи. Намного важнее что эпоха когда воровались телефоны прошла, и заслуга в этом единственной компании, все остальные - жалкие косплееры
     
     
  • 4.22, ОдуванКеноба (?), 16:17, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    NPC grindset
     
  • 4.41, penetrator (?), 07:05, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    подсунуть твою рожу к фейс айди не? в первых версиях так вообще достаточно фотки было
     
     
  • 5.47, Аноним (47), 10:01, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про фотку, это вы с андроидом путаете. Для фейсайди нужна была как минимум ЗД-маска лица человека, причем с контурами капилляров под кожей.
     
     
  • 6.72, penetrator (?), 09:52, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Про фотку, это вы с андроидом путаете. Для фейсайди нужна была как
    > минимум ЗД-маска лица человека, причем с контурами капилляров под кожей.

    https://discussions.apple.com/thread/252201708

     
  • 4.55, Аноним (-), 20:04, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > зато если аппарат украдут - никто и никогда его не разблокирует,

    Ну да, на запчасти раздербанят если не смогут от стора отвязать. Вы его все равно уже не увидите никогда, так что радости то с этого всего...

    > Намного важнее что эпоха когда воровались телефоны прошла

    Что, и правда прошла? Ну и тотал контроль конечно сделает все безопаснее. Вон там уже через госуслуги рассылают всякое. Надо еще фэйс айди, на случай если вы вдруг удумаете это не получать. Вгрузить во все камеры. Лучше сразу с автоматической турелью.

     
  • 4.71, Электрон (?), 13:11, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > никогда нигде не всплывут, кроме точечных ситуаций "когда надо"

    Да конечно, сама наивность:

    > FBI abused spy law but only like 280,000 times in a year

    Ситуацию "где надо" будете определять не вы и не закон, в лучшем случае суд, постфактум, если у вас денег и смекалки хватит.

     
  • 3.46, Аноним (47), 09:59, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не то, чтобы поддерживаю Apple в этом вопросе, но вы просто дизинформацию несете. Эту функцию отменили еще до релиза из-за возмущения общественности.
     
     
  • 4.54, Mail (?), 20:03, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    поставили галочку "пока не использовать"?
     
     
  • 5.66, Аноним (66), 15:40, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    факт остается фактом, эпл безопасней андроидов
     

  • 1.13, Аноним (13), 15:21, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Hmm, а подключение специальной платы между в разрыв между сканером разве не потребует выключение телефона, а после включение один хрен парольнужОн.
     
     
  • 2.14, Карлос Сношайтилис (ok), 15:36, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С высокой вероятностью - не потребуется. По крайней мере я на нескольких телефонах отключал и подключал датчик физически на работающем устройстве.
     

  • 1.18, YetAnotherOnanym (ok), 15:54, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > словарный метод, основанный на использовании коллекций изображений с отпечатками пальцев, попавших в открытый доступ в результате утечек

    Ой, я вас умоляю! Какие коллекции, какие утечки? Просто каждый китаец приложит палец, пока не найдётся подходящий.

     
  • 1.19, Аноним (19), 15:59, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Напрячься тут надо на словах Fingerprint database. Потому что речь вовсе не о настоящем брутфорсе, а о переборе отпечатков из базы данных. Тут два в одном - и изъятый смартфон откроют, и дополнительно докажут его принадлежность однозначно идентифицированному человеку.

    Обломать схему можно, если использовать модифицированный датчик пальца, который на лету трансформирует данные. В этом случае если и подберут код отпечатка, не удастся его сопоставить с реальными отпечатками из базы.

     
     
  • 2.24, Аноним (5), 16:52, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Даже при сканировании нескольких пальцев точность будет не выше 99.5% это значит на 1000 человек у 5 человек пальцы не столько одинаковые что смогут разблокировать один и тот же телефон.
     
     
  • 3.26, Аноним (8), 17:30, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каждую весну приходится работать с деревом и наждачно бумагой. После этого отпечаток пальца сутки-двое не распознается. :)
    А я тотже самый :)
     
     
  • 4.51, Аноним (5), 15:42, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно на изи найти чела, у которого будет распознаваться отпечаток в тот момент когда твой собственный отпечаток не распознаётся. Вероятность мы знаем.
     
     
  • 5.67, Аноним (66), 15:41, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и какова же она? и способ ее вычисления, пожалуйста, предъявите
     
  • 3.28, Аноним (27), 18:29, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    База вообще не нужна, можно нейронкой генерить на лету.
     
     
  • 4.65, Аноним (65), 14:52, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    База реальных отпечатков людей как бы не обязательно нужна, но без нее брутфорс может занять больше времени. Там не так уж мало энтропии.
    Также нейронка вполне может бесконечно генерить уникальные отпечатки, ни один из которых не совпадет с реальным. Гарантию подбора дает только полный перебор битов, приходящих от датчика. С помощью нейронки можно отсеивать невозможные (природа славится разнообразием и делать это нужно осторожно), но это все равно много вариантов для проверки.
     
  • 2.56, Аноним (-), 20:06, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Обломать схему можно, если использовать модифицированный датчик пальца

    При том это, кажется, называется микроконтроллером. При должном желании можно мелкий прямо на шлейфик MITM'ом повесить. Примерно так переключатели на 2 сим-карты сделаны, половина из которых при желании может быть активным MITM.

     

  • 1.20, Вы забыли заполнить поле Name (?), 16:16, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну какая это уязвимость? Это потайная дверь. Понимать надо!
     
  • 1.21, Вы забыли заполнить поле Name (?), 16:17, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://imgflip.com/i/7mod7v
     
     
  • 2.25, Аноним (5), 16:53, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да все всё всегда знали, но реально проверить смогли только через много лет.
     

  • 1.29, Kuromi (ok), 18:34, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну по сути всегда говорилось, что все это ненадежно и пароль наше фсё. Хотя последние годы разговоры были чуточку иные, да, но биометрия как правила сочеталась с чем-то еще.

    Тот же Face ID уже давно высмеивают даже в кино (разблокировка телфона лицом трупа или спящего человека).

    Зато удобно, да.

     
     
  • 2.33, Аноним (33), 23:26, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Голова не думать, голова фильмы смотреть, в удобном положении. Примерно всё так.

    Зато удобно, да.

    P.S. Судя по движухе этой весной, или ещё что-то есть в теме, или именно эта дыра знатная.

     
  • 2.34, пох. (?), 23:35, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лица трупов с собой в мешке таскать для разблокировки все же стало не так удобно, как гирлянду из пальцев.

    А теперь вот с правильными пацанами конкурировать взялись неправильные - просто стыздившие пресловутую базу нии Восход (и ель-брусья ведь не помогли). Ты ж, небось, из тех счастливчиков - потенциальных националпредателей, у которых ЕСТЬ загран-паспорт? Ну вот теперь твое личное присутствие даже частично не требуется для разблокировки случайно забытого или отжатого лопатофона, а заодно и уточнения кто ты. Можешь счастливо плыть по Мойке, разложенным в шесть пакетов.

     
  • 2.48, Аноним (47), 10:03, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не будет он разблокироваться трупом или спящим человеком, камера за движениями глаз следит.
     
     
  • 3.52, Аноним (5), 15:44, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну все ты им подсказал ещё расталкивать его так чтобы глаза зашевелились.
     
  • 2.61, Аноним (61), 00:43, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато удобно, да.

    Подскажи, как удобно сменить отпечатки пальцев? Или "нечего скрывать"?

     

  • 1.35, Ivan_83 (ok), 00:13, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А кто то серьёзно относится к такой биометрии?

    Это же компромис между само в кармане разблокируется и нажимется/мелкий ребёнок постоянно туда лазает и "лень вводить пароль/рисунок".

    Серьёзная биометрия - это когда кто то ещё приглядывает что ты там один и что именно свои пальцы/морду/глаза прикладываешь к сканеру, там такие брутфорсы кончатся как только брутфорсер отвёртку достанет чтобы первый шуруп открутить на сканере.

     
     
  • 2.42, Tron is Whistling (?), 08:36, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Серьёзная биометрия - это радужка, но там камера высокого разрешения специфичная нужна.
     
     
  • 3.43, Ivan_83 (ok), 08:52, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Те вы хотите остатся без глаза в случае чего?)

    Опять же, пальцы, глаз и прочее - можно потерять и при несчастном случае, в какомнить ДТП, как вы потом хотя бы смартфон разблокируете чтобы помощь вызвать?

     
     
  • 4.44, Tron is Whistling (?), 08:57, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я про серьёзную биометрию, а не про смартфоны :D
     
     
  • 5.57, Аноним (-), 20:08, 23/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.60, Tron is Whistling (?), 21:10, 23/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.45, Tron is Whistling (?), 09:02, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и боюсь, что если вы в ДТП потеряли пальцы глаз и прочее - с разблокировкой смартфона у вас в любом случае будут небольшие затруднения.
     
  • 3.62, Аноним (61), 00:44, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    радужку изменить можно в случае утечки изображения?
     
     
  • 4.63, Tron is Whistling (?), 09:24, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там изображение не сильно поможет - его камере обычно не подсунуть.
    Речь о серьёзной биометрии, а она обычно дублируется бумажным и визуальным контролем.
     
  • 4.64, Tron is Whistling (?), 09:25, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И именно в этом и заключается главная фишка - изменить очень сложно.
     

  • 1.36, Аноним (-), 00:21, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну что, все сдали биометрию Сбербанку? А в метро по фейспею ходите? Вон, плакатики в метро висят, говорят - безопасно и удобно, пользуются двести тысяч и даже дешевле, чем картой! И в Сбербанке предлагают биометрию сдать, говорят, в безопасности всё будет, в конце-то концов августовский слив персональных данных от 2019 года они закрыли со всей строгостью - каждому перевыпустили карту с новым номером, оповестили о сливе и угрозе социнженерии через дополнительные факторы клиентов и предприняли дальнейшие шаги из списка деятельного раскаяния.
     
     
  • 2.37, Ivan_83 (ok), 01:11, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А какая разница кому её сдавать?
    У меня загран уже давно с биометрией, а они там хотят сделать единую базу биометрии, так что сбер скоро автоматом меня узнавать станет, как и турникеты, если я вернусь вообще когданибудь :)
     
     
  • 3.49, Аноним (8), 10:20, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты не возвращайся, и скоро тебя все забудут, даже сбер. :)
     
  • 3.58, Аноним (-), 20:09, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня загран уже давно с биометрией,

    Ну вот это ты зря. Все что вы скажете или сделаете может быть - и будет - использовано против вас...

     
  • 2.40, Kuromi (ok), 06:01, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну что, все сдали биометрию Сбербанку? А в метро по фейспею ходите?
    > Вон, плакатики в метро висят, говорят - безопасно и удобно, пользуются
    > двести тысяч и даже дешевле, чем картой! И в Сбербанке предлагают
    > биометрию сдать, говорят, в безопасности всё будет, в конце-то концов августовский
    > слив персональных данных от 2019 года они закрыли со всей строгостью
    > - каждому перевыпустили карту с новым номером, оповестили о сливе и
    > угрозе социнженерии через дополнительные факторы клиентов и предприняли дальнейшие шаги
    > из списка деятельного раскаяния.

    Да никто не сдал на самом деле. Пару лет назад публиковали данные по ЕБС (государственной) там называли 50-100 тысяч образцов, не более, притом что планы были в первый год собрать миллион минимум. Однако волшебным образом народ оказался на диво недоверчив и решил биометрию не сдавать.
    Разговоры про пресловутый "фейспей" - тоже самое, просто медийная тема.

     
  • 2.68, пох. (?), 21:13, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну что, все сдали биометрию Сбербанку?

    клиентам почти-банка и альфы даже и выбирать не предлагают.

    Кстати, первые собираются все это хранить 70 лет, и не имеют даже адреса куда прислать письмо с нижайшей просьбой поудалять твои данные,  если договор уже неактуален. (Обычно и так и так фуфло, но тут даже не притворяются)

     
     
  • 3.73, Kuromi (ok), 23:32, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну что, все сдали биометрию Сбербанку?
    > клиентам почти-банка и альфы даже и выбирать не предлагают.
    > Кстати, первые собираются все это хранить 70 лет, и не имеют даже
    > адреса куда прислать письмо с нижайшей просьбой поудалять твои данные,  
    > если договор уже неактуален. (Обычно и так и так фуфло, но
    > тут даже не притворяются)

    Ну Почти-банк вообще поражает, у них ИБ считается менее доверенным чем МБ. Не хотите подтверждать операции ЗВОНКОМ на горячуюю линию (а что будет когда они 8-800 отключат по подобию других банков) - ставьте приложуху на телефон. Такого вообще нигде нет больше.
    И нет, СМС-коды для них не аргумент.

     

  • 1.50, Аноним (50), 13:23, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем брутфорс, если у вас есть имя владельца телефона и база отпечатков с именами? Попробуйте использовать технологию Древних, поиск по базе данных называется.
     
     
  • 2.59, Аноним (-), 20:10, 23/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.69, пох. (?), 21:15, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем брутфорс, если у вас есть имя владельца телефона

    а где я тебе его имя возьму - на телефоне оно не написано? А владельца уже не спросишь, он по Мойке в разных пакетах плывет. (В культурной столице не принято выбрасывать одним куском.)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру