אייפון 5S החדש, ועכשיו גם סמסונג גלקסי S5, הם הטלפונים המפחידים ביותר בעולם: הטלפון שומר את טביעת האצבע שלך אצלו, וברגע שהוא קיבל אותה פעם אחת - כל האקר מוצלח יוכל לקחת אותה ולהשתמש בה עד יום מותך.
[פורסם במקור ב-12 ספט' 2013, ועודכן שוב]
כל סיסמה אפשר להחליף אם היא מתגלה או מתיישנת. אבל טביעת אצבע היא מולדת ולכן אסור לתת אותה לאף חברת טכנולוגיה פרטית.
כל סיסמה אפשר להחליף אם היא מתגלה או מתיישנת. אבל טביעת אצבע היא מולדת ולכן אסור לתת אותה לאף חברת טכנולוגיה פרטית.
חברת אפל - ועכשיו גם סמסונג - אולי רוצה לאבטח את הטלפון שלך, אבל בפועל היא מסכנת את כל לקוחות האייפון היוקרתי החדש. בניגוד לכל סדרת הטלפונים המוצלחת של אפל - ובמיוחד דגם 4S שממשיך להימכר היטב - הפעם יש צרכנים שממש נרתעים מן הטכנולוגיה החדשה, שאותה כלל לא ביקשו. כל הכתוב כאן רלוונטי גם לדגם S5 החדש בסדרת סמסונג גלקסי.
תהליך איסוף טביעת האצבע מתבצע בצורה מהירה ביותר: הכפתור העגול בתחתית המכשיר, שאי אפשר לחמוק ממנו, מזהה את טביעת האצבע באופן מיידי. למרות שמדובר רק באופציה ולא בברירת מחדל, הכפתור יכול לבצע את הפעולה גם ללא ידיעת המשתמש. כל מכשיר שיעבור 'טיפול' מיוחד, יאסוף את טביעת האצבע ללא הרשאה, יתחבר לרשת וישלח אותה לצד שלישי.
אפל כבר משתעשעת באפשרויות המסחריות הטמונות בטביעות אצבעות, וכבר הכריזה שבכוונתה להשתמש בזהות ביומטרית לביצוע רכישות דיגיטליות בחנויות האפליקציות שלה. גם סמסונג השיקה שיתוף פעולה עם חברת פייפל, שקושר בין טביעת האצבע שלנו לתשלומים ברשת.
זה רק עניין של זמן עד שאפל תנסה לשכנע אותנו לאמץ את הטכנולוגיה בלי לחשוב על ההשלכות המפלצתיות שלה. תנו להם טביעת אצבע, והם ירצו את כל היד.
לא ירחק היום, ואייפוניסטים יקבלו מייל מהאקר מזרח-אירופאי המפנה אותם לאתר אינטרנט פומבי, שבו מפורסמת טביעת האצבע שלהם במלוא הדרה. אתה רוצה שזה יוסר? אין בעיה. רק תשלם כמה אלפי דולרים ואף אחד לא ייפגע. מי רוצה לתת להאקרים את הכוח הזה? אפל כמובן.
זה רק עניין של זמן עד שאפל תנסה לשכנע אותנו לאמץ את הטכנולוגיה בלי לחשוב על ההשלכות המפלצתיות שלה. תנו להם טביעת אצבע, והם ירצו את כל היד.
לא ירחק היום, ואייפוניסטים יקבלו מייל מהאקר מזרח-אירופאי המפנה אותם לאתר אינטרנט פומבי, שבו מפורסמת טביעת האצבע שלהם במלוא הדרה. אתה רוצה שזה יוסר? אין בעיה. רק תשלם כמה אלפי דולרים ואף אחד לא ייפגע. מי רוצה לתת להאקרים את הכוח הזה? אפל כמובן.
אז אפל הבטיחה. אז מה?
זה נכון שאפל הבטיחה שהמידע הנוגע לטביעת האצבע יוצפן ויאוכסן על הצ'יפ A7 של המכשיר, בלי לתת לאף אפליקציה או תוכנה אחרת לגשת לנתונים. אבל אפל הבטיחה הרבה דברים ולא קיימה אותם:
1) אפל נמצאה אשמה במזימת תיאום מחירים ענקית עבור ספרים דיגיטליים
2) אפל מואשמת בהעלמות מס אדירות במיליארדי דולרים
3) אפל נחקרת על כריתת הסכמים בלתי חוקיים עם מתחרים כדי למנוע מעבר עובדים
4) אפל נמצאה אשמה בעבירות על חוקי העבודה במפעלי הייצור שלה בסין
5) אפל נתבעת על הפרת פרטיות הגולשים בדפדפן ספארי (איסוף מידע אסור)
האמת היא שאי אפשר לסמוך על אפל עם טביעות האצבעות שלנו. ואפילו אם אנחנו סומכים על אפל בעיניים עצומות, אי אפשר להתכחש לעובדה שההאקרים לא עובדים בשביל אפל, הם עצמאיים, ולהם יש אינטרסים אחרים לגמרי. מומחה האבטחה ג'ון קספר, למשל, אמר בראיון ל-Cnet שאסור להשתמש בטביעות אצבעות לזיהוי יומיומי, במיוחד אם המידע מאוחסן לכל החיים.
דרך ארוכה עשתה אפל מאז אוקטובר 2001, בו השיקה את האייפוד (iPod) הראשון. היה זה מכשיר שכולו הנאה, ובלי שום סכנה למשתמש: האייפוד לא ידע להתחבר לרשת בעצמו, הוא לא ביקש סיסמאות, לא ביצע רכישות, לא איפשר כניסה לחשבון בנק, לא איכסן נתונים אישיים ולא חלם אפילו לאסוף טביעות אצבעות. אפשר היה להעביר קבצים דרך כבל, ולהשתמש בהם אחר כך בלי חיבור פעיל לאינטרנט.
דרך ארוכה עשתה אפל מאז אוקטובר 2001, בו השיקה את האייפוד (iPod) הראשון. היה זה מכשיר שכולו הנאה, ובלי שום סכנה למשתמש: האייפוד לא ידע להתחבר לרשת בעצמו, הוא לא ביקש סיסמאות, לא ביצע רכישות, לא איפשר כניסה לחשבון בנק, לא איכסן נתונים אישיים ולא חלם אפילו לאסוף טביעות אצבעות. אפשר היה להעביר קבצים דרך כבל, ולהשתמש בהם אחר כך בלי חיבור פעיל לאינטרנט.
אפל רוצה את האצבע שלך |
זה נכון שהרבה אנשים פשוט לא מאבטחים את הטלפון שלהם, לא בוחרים סיסמה, או שהם בוחרים סיסמה קלה מאוד לפיצוח. זה גם נכון שטכנולוגיית טביעות אצבעות היא נוחה מאוד לשימוש, ברמה הצרכנית הפשוטה. אלא שקלות השימוש, שמטרתה האמיתית היא הגברת הרווחים של אפל, באה על חשבון המשתמש, בסופו של דבר.
ההאקרים כבר החלו לעבוד
הסכנה האמיתית של Touch ID מובנת לכל מי שמתעסק בהצפנה, אבטחה ותרבות ההאקרים: הפיתוי להשיג את טביעת האצבע הוא אדיר. אנחנו מדברים כאן על גופי ביון מתוחכמים מאוד כמו ה-NSA וה-CIA, וכמובן גם המוסד והשב"כ, שיש להם היסטוריה נכלולית במיוחד בכל הנוגע לשימוש בטלפונים סלולריים (רצח יחיא עייש, למשל). אין שום ספק שההאקרים הטובים בעולם כבר הבינו שהם חייבים לפצח את שיטת ההצפנה הזו כדי להשיג טביעות אצבעות. והגרוע מכל: זה יקרה הרבה יותר מהר משציפינו.
העיקרון החשוב ביותר בכל הסיפור הזה הוא דווקא הפשוט ביותר להבנה: טביעת אצבע איננה ניתנת לשינוי, מחיקה, עריכה, עדכון, איתחול או טישטוש. ברגע שהיא נופלת לידיים הלא נכונות, אין דרך חזרה ואין דרך לבטל. מסירת טביעת אצבעות היא "נגעת נסעת". לא יעזור להתנצל, לפצות, להתחרט או להתקין טלאי אבטחה. טביעת האצבע שלכם אבודה - ולא רק שלכם.
טביעת אצבע אבודה יכולה לשמש גופי ריגול וביון כדי להפליל מתנגדי משטר בעבירות טרור. למשל, הממשל הסיני ישמח מאוד להשיג טביעות אצבעות של יריבים פוליטיים כדי להעמיד אותם לדין ולהרשיע על סמך טביעות אצבעות שהושתלו בצורה דיגיטלית. משטרים דיקטטוריים בכל העולם יתפסו אייפונים כדי להשיג את מה שהאזרחים לא חייבים לתת למשטרה: טביעת אצבע.
בתמונה: פינגר-סקאנר של סמסונג גלקסי אס-5 |
האקרים שמקבלים מליוני דולרים כדי לייצר זהויות פיקטיביות יפרצו את ה-Touch ID ואז יסחרו בטביעות אצבע כדי להפליל אזרחים תמימים, לבלבל את המשטרה ולזכות את העבריינים האמיתיים.
כמות הסיכונים שיוצרת טכנולוגיית ה-Touch ID של דגם ה-iPhone 5S היא פשוט אינסופית. גם ה"פינגר סקאנר" של סמסונג גלקסי S5 הוא אסון דומה. זה ברור שחברות הסלולר רוצות כמה שיותר מידע - אז מה השלב הבא? תרומת דם דרך הסלולר? תרומת תאי גזע? הרי אפשר לקחת את הטכנולוגיה עמוק אל תוך ה-DNA שלנו.
ומה הכי גרוע? שיש אנשים המאמינים כי סריקת טביעות אצבע תעזור להם לשמור על פרטיותם. הדבר דומה לאדם המאמין כי ניתן לשמור על פרטיות במצב שבו אתה מחזיק ערימת חיישנים דיגיטלית בתוך כיסך. הפרטיות הולכת ונעלמת ברגע שתעשיית המובייל מתחילה להתנהג כמו שוטרים שלוקחים אותך למעצר.
הצרכנים הללו לא צריכים לקנות את ה-5S בשום צורה, וגם לא את ה-S5 של סמסונג. אפשר להסתפק ב-4S, ב-5 הרגיל או אפילו ב-5c החדש, שאין לו שום יומרה להיכנס לכם מתחת לעור. אפל וסמסונג לא יקבלו את טביעת האצבע שלי לעולם.
ומה הכי גרוע? שיש אנשים המאמינים כי סריקת טביעות אצבע תעזור להם לשמור על פרטיותם. הדבר דומה לאדם המאמין כי ניתן לשמור על פרטיות במצב שבו אתה מחזיק ערימת חיישנים דיגיטלית בתוך כיסך. הפרטיות הולכת ונעלמת ברגע שתעשיית המובייל מתחילה להתנהג כמו שוטרים שלוקחים אותך למעצר.
הצרכנים הללו לא צריכים לקנות את ה-5S בשום צורה, וגם לא את ה-S5 של סמסונג. אפשר להסתפק ב-4S, ב-5 הרגיל או אפילו ב-5c החדש, שאין לו שום יומרה להיכנס לכם מתחת לעור. אפל וסמסונג לא יקבלו את טביעת האצבע שלי לעולם.
בתמונה: פיל שילר (אפל) מתגאה ביכולות סריקת טביעות האצבעות של אייפון החדש |
איך זה קשור לגוגל
גוגל תביט מהצד ותבחון את תגובת הצרכנים לסורק טביעות האצבעות החדש. אם היא תגלה שהצרכנים מרוצים ממנו, היא תשקול לתמוך בו במסגרת אנדרואיד. ברגע שהושק ה-5S של אפל, העליתי כאן את החשש שגם סמסונג ויצרני סמארטפונים נוספים יבחנו ברצינות אם כדאי להיכנס עמוק אל אצבעות הלקוחות. וכצפוי - סמסונג קפצה למים.
מיזוג מלא בין טביעת האצבע של המשתמש ובין חשבון גוגל, יאפשר לענק החיפוש לבצע התאמה מדויקת עוד יותר בין חיפושים של אדם ברשת ובין זהותו המדויקת. עד לא מזמן, גוגל לא ממש היה בטוח מי משתמש בטלפון בכל רגע נתון. טביעת אצבע המפעילה את הטלפון עשויה לסייע לגוגל לחזק את יכולת המיקוד הפרסומית שלו, על חשבון פרטיות המשתמשים כמובן.
לעומת זאת, אם אפל תספוג התנגדות קשה מצד צרכניה בנושא טביעת האצבעות, גוגל אולי תוותר על ההרפתקה.
כמו שזה נראה כרגע, גוגל תאמץ את טביעות האצבעות כדי לזהות מי משתמש בטלפון בכל רגע נתון, וכך לדעת טוב יותר מי מבצע כל חיפוש וחיפוש. כולנו יודעים שטלפון סלולרי הוא מוצר משפחתי, המועבר מיד ליד. גוגל תשמח מאוד להתקרב לעידן שבו הפרסומת תותאם לכל טביעת אצבע ספציפית.
לכן כדאי להעלות כאן עוד כמה תהיות פרנואידיות לכאורה:
1) האם הילדים הקטנים שלנו ייאלצו למסור את טביעות האצבעות שלהם לגוגל?
2) האם מישהו העלה בדעתו שמנוע חיפוש כמו גוגל ייקח מאיתנו טביעות אצבעות?
3) האם פרלמנטים ומחוקקים ברחבי העולם יעצרו את תעשיית ההייטק מלקחת טביעות אצבעות?
4) מהן ההשלכות המורכבות של קישור בין חיפוש אנונימי-לכאורה ובין זיהוי ביומטרי?
5) האם כל מסך-מגע שבו נשתמש בעתיד ייקח מאיתנו את טביעת האצבע בלי לשאול?
מיזוג מלא בין טביעת האצבע של המשתמש ובין חשבון גוגל, יאפשר לענק החיפוש לבצע התאמה מדויקת עוד יותר בין חיפושים של אדם ברשת ובין זהותו המדויקת. עד לא מזמן, גוגל לא ממש היה בטוח מי משתמש בטלפון בכל רגע נתון. טביעת אצבע המפעילה את הטלפון עשויה לסייע לגוגל לחזק את יכולת המיקוד הפרסומית שלו, על חשבון פרטיות המשתמשים כמובן.
לעומת זאת, אם אפל תספוג התנגדות קשה מצד צרכניה בנושא טביעת האצבעות, גוגל אולי תוותר על ההרפתקה.
כמו שזה נראה כרגע, גוגל תאמץ את טביעות האצבעות כדי לזהות מי משתמש בטלפון בכל רגע נתון, וכך לדעת טוב יותר מי מבצע כל חיפוש וחיפוש. כולנו יודעים שטלפון סלולרי הוא מוצר משפחתי, המועבר מיד ליד. גוגל תשמח מאוד להתקרב לעידן שבו הפרסומת תותאם לכל טביעת אצבע ספציפית.
לכן כדאי להעלות כאן עוד כמה תהיות פרנואידיות לכאורה:
1) האם הילדים הקטנים שלנו ייאלצו למסור את טביעות האצבעות שלהם לגוגל?
2) האם מישהו העלה בדעתו שמנוע חיפוש כמו גוגל ייקח מאיתנו טביעות אצבעות?
3) האם פרלמנטים ומחוקקים ברחבי העולם יעצרו את תעשיית ההייטק מלקחת טביעות אצבעות?
4) מהן ההשלכות המורכבות של קישור בין חיפוש אנונימי-לכאורה ובין זיהוי ביומטרי?
5) האם כל מסך-מגע שבו נשתמש בעתיד ייקח מאיתנו את טביעת האצבע בלי לשאול?
2 תגובות:
אני חושב שאתה קצת מגזים ואני אסביר למה:
ראשית, בשום שלב לא נשמרת תמונה של טביעת האצבע באייפון אלא הקידוד (hash) של טביעת האצבע; אמנם ישנה תמונה של טביעת האצבע ב image buffer של סורק טביעת האצבע אבל זכרון זה נדיף (שכמובן גם אליו אפשר לפרוץ אבל זה יותר בעייתי).
שנית, סורקי טביעות אצבע היו קיימים בטלפונים נוספים (יישנו דגם של מוטורולה) וכמובן שכבר הרבה הזמן קיימים סורקים כאלה במחשבים ניידים.
שלישית - אמנם טביעת אצבע אי אפשר לשנות/למחוק וכו' אבל כן אפשר לסמן אותה כפסולה ולהשתמש ב 9 ההזדמנויות הנוספות שיש לנו בכל יד.
כמו כן - לכל מי שביקר בארצות הברית בעשור האחרון ישנה תמונה של כל טביעות האצבע שלו במאגר של רשות ההגירה האמריקאית - זה עדיף יותר?
מה שצריך להעריך אצל אפל היא העובדה שהסורק מחובר ישירות למעבד (בחיבור נפרד) ושבשלב ראשון הם לא נותנים למפתחים גישה לסורק על מנת לבדוק את השלכות האבטחה של הסורק.
תגובה ללירון:
1) אפל יכולה להיות קדושה - אבל מי שמוכר לך את המכשיר יכול לטפל במכשיר, ולחבר את הסורק לאינטרנט.
2) גופים מסחריים שעובדים עם אפל יפעילו עליה לחצים אדירים לתת להם להתחבר לסורק הזה, ואז הכל פרוץ.
3) אם מישהו גונב לך את האייפון ומצליח לפצח את ההגנה של הצ'יפ, יש לו את טביעת האצבע שלך.
4) ברגע שאיבדת את טביעת האצבע שלך, אתה לא יכול לעשות כלום יותר. זה אבוד, זה בלתי הפיך, זו נקודת האל-חזור. זאת בניגוד לסיסמה, שאותה אפשר פשוט לבטל.
[תגובה זו מאומתת ללא טביעת אצבע]
הוסף רשומת תגובה