Смята се, че биометричното удостоверяване е по-сигурна алтернатива на традиционните пароли. Понастоящем автентичността на пръстови отпечатъци е най-често срещаната форма на биометрия и се използва в смартфони, лаптопи и други устройства, като смарт брави и USB устройства.
Проучване на Cisco Talos обаче установи, че 80% от автентичността на пръстови отпечатъци може да бъде лесно заобиколена.
За своите тестове изследователите взели пръстови отпечатъци директно от целевия потребител на устройството или от повърхности, които потенциална жертва е докоснала. В същото време експертите определят сравнително нисък бюджет за това проучване, за да определят какво може да постигне нападател с ограничени ресурси. И така, общо те похарчиха около 2000 долара за тестване на устройства от Apple, Microsoft, Samsung, Huawei и т.н.
Експертите обработиха получените отпечатъци с филтри за увеличаване на контраста, използваха 3D принтер за създаване на впечатления и след това образуваха фалшив отпечатък, попълвайки този формуляр с евтино лепило. При работа с капацитивни сензори материалите също трябваше да включват графит и алуминий на прах, за да увеличат проводимостта.
Анализаторите тестваха фалшивите пръстови отпечатъци върху оптични, капацитивни и ултразвукови скенери за пръстови отпечатъци, но не откриха значителни разлики по отношение на сигурността. Но Cisco Talos отбелязва, че те постигнаха най-доброто представяне чрез атака на ултразвукови сензори, които са най-новите и обикновено вградени веднага в дисплея на устройството.
Резултати от тестовете.
Най-лесният начин да изневерите с фалшиви отпечатъци беше заключването AICase, както и смартфоните Huawei Honor 7x и Samsung Note 9, базирани на Android. За тези устройства атаките бяха 100% успешни.
Промоционално видео:
Атаките на iPhone 8, MacBook Pro 2018 и Samsung S10 бяха почти толкова успешни, с успеваемост над 90%.
Пет модела лаптопи, работещи с Windows 10 и две USB устройства (Verbatim Fingerprint Secure и Lexar Jumpdrive F35) показаха най-добри резултати: те не можеха да бъдат измамени с фалшив.
По този начин, в случая с мобилните телефони, изследователите заобикаляха автентичността на пръстови отпечатъци на огромната част от устройствата. В лаптопите успяхме да постигнем 95% успех (това беше особено лесно с MacBook Pro), но не беше възможно да се заобиколи защитата на Windows 10 устройства на борда, използвайки изобщо рамката на Windows Hello.
Анализаторите пишат, че въпреки факта, че не успяха да заблудят биометричното удостоверяване на машини на Windows и USB устройства, това не означава, че те са толкова добре защитени. Просто е необходим различен подход, за да ги пропукаме. Малко вероятно е да устоят на нападател с добър бюджет, много ресурси и професионален екип.
Въпреки че Samsung A70 също демонстрира устойчивост, изследователите обясняват, че неговата биометрична автентификация просто работи изключително зле и често дори не разпознава реални пръстови отпечатъци, които са били регистрирани в системата.
Въз основа на получените резултати експертите стигат до заключението, че технологията за автентификация на пръстови отпечатъци все още не е достигнала нивото, след което може да се счита за надеждна и сигурна. Всъщност изследователите пишат, че автентификацията на пръстови отпечатъци на смартфони е станала по-слаба след 2013 г., когато Apple представи TouchID за iPhone 5 и тогава системата е била хакната.
Автор: Мария Нефедова