Назвав отпечаток пальца «лучшим паролем» и намекнув на абсолютную непогрешимость Touch ID («высокая разрешающая способность сенсора», «чтение подкожного слоя» и т. п.), Apple не столько убедила публику в надёжности своего продукта, сколько подстегнула задор тех, кто ломает цифровые замки из спортивного интереса. Если помните, немедленно был объявлен краудфандинговый конкурс на взлом (в первые же сутки организаторы собрали почти 20 тысяч долларов, и, хоть главный спонсор потом платить отказался, призовые всё равно получились приличными), а уже через сорок восемь часов взлом состоялся. Всё, что требовалось от претендента на приз, — продемонстрировать воспроизводимый процесс разблокировки нового «Айфона» отпечатком пальца, снятым, например, с пивного бокала (а то и с самого корпуса телефона, где «пальчики» пользователя уж точно остались). Что и было проделано известным под псевдонимом Starbug хакером из легендарного коллектива Chaos Computer Club (CCC; ведёт родословную с начала 80-х и связан с множеством ярких — даже государственной важности — дел).

Метод взлома прост до смешного. С помощью хорошего цифрового фотоаппарата или сканера делается снимок отпечатка пальца, оставшегося на стеклянной поверхности. Картинку минимально обрабатывают в графическом редакторе (чистят; возможно, инвертируют) и печатают лазерным принтером на прозрачной плёнке. Затем на получившийся оттиск наносят латексное молочко, застывающее в эластичный резиновый слепок, отлепляют последний и делают классическое движение почтового служащего: выдыхают и припечатывают (вот демонстрационный ролик)! Латексные бороздки с осевшей на них влагой принимаются Touch ID за настоящий палец. Собственно говоря, тот же метод работает и против большинства других пальцевых сканеров, имеющихся на рынке, а известен он уже ровно десять лет!

Демонстрация Starbug требует задать минимум два вопроса. Первый таков: почему Apple, наверняка знавшая, что сенсор Touch ID «сломают», и сломают быстро (уж испытать самый популярный метод обмана папиллярных сканеров она должна была даже из любопытства!), всё равно установила его в новый смартфон, не оснастив никакими дополнительными защитными свойствами? («Подкожное сканирование» оказалось лишь рекламной уловкой, а «беспрецедентно высокая разрешающая способность», как видите, легко перекрывается бытовыми устройствами.) Хуже того, Apple рекламирует Touch ID как «безопасную» функцию и включила её в список самых важных инноваций своего топового продукта. Почему? Кончились идеи? Безалаберность перевалила за критическую отметку? Компанию одолела бюрократия и первые её лица теперь не ведают, что творится в лабораториях и сборочных цехах? Допустил бы такое Джобс?

Кто-то скажет, что 5s / Touch ID стал первым шагом мультифакторной аутентификации на широкий рынок, что первый блин комом — и его, конечно, будут дорабатывать... Однако ведь Apple могла, но даже не попыталась реализовать хотя бы двухфакторную защитную схему (достаточно было проверять вместе с отпечатком пальца, например, пин-код).

Для тех, кто верит, что Apple не была и не является инженерной компанией, ответ на первый вопрос очевиден (см. «Как «убить» Mac и iPhone строчкой текста»). Но лично мне более важным кажется ответ на вопрос номер два: не станет ли Touch ID последним гвоздём в гроб папиллярной биометрии?

Ведь дедуктивная последовательность здесь не бог весть какая сложная. Узнавание пользователя по отпечатку пальца является самым дешёвым и в то же время самым проработанным из биометрических методов. За последние десять–пятнадцать лет пальцевые сенсоры появлялись в продуктах разных производителей (включая и таких гигантов, как IBM), а Apple, вступив в игру, словно бы подвела черту: эксперименты кончились, можно приступать к массовой эксплуатации! Однако за те же десять лет стало ясно, что отпечаток пальца сам по себе (читайте: однофакторная схема) не может служить достаточной защитой, его необходимо комбинировать с другими технологиями аутентификации — да вот беда, они сами нуждаются в достаточно надёжном компаньоне (вспомните, почему удаётся скимминг).