Uważa się, że uwierzytelnianie biometryczne jest bezpieczniejszą alternatywą dla tradycyjnych haseł. Uwierzytelnianie na podstawie linii papilarnych jest obecnie najpowszechniejszą formą biometrii i jest stosowane w smartfonach, laptopach i innych urządzeniach, takich jak inteligentne zamki i dyski USB.
Jednak badanie przeprowadzone przez Cisco Talos wykazało, że 80% uwierzytelniania odcisków palców można łatwo ominąć.
Do testów naukowcy pobrali odciski palców bezpośrednio od docelowego użytkownika urządzenia lub z powierzchni, których dotknęła potencjalna ofiara. Jednocześnie eksperci ustalili stosunkowo niski budżet na to badanie, aby określić, co może osiągnąć atakujący z ograniczonymi zasobami. W sumie wydali około 2000 USD na testowanie urządzeń Apple, Microsoft, Samsung, Huawei i tak dalej.
Eksperci przetworzyli otrzymane wydruki za pomocą filtrów w celu zwiększenia kontrastu, użyli drukarki 3D do stworzenia wycisków, a następnie utworzyli fałszywy wydruk, wypełniając ten formularz niedrogim klejem. Podczas pracy z czujnikami pojemnościowymi materiały musiały również zawierać grafit i proszek aluminiowy, aby zwiększyć przewodnictwo.
Analitycy przetestowali fałszywe odciski palców na optycznych, pojemnościowych i ultradźwiękowych skanerach linii papilarnych, ale nie znaleźli znaczących różnic pod względem bezpieczeństwa. Jednak Cisco Talos zauważa, że osiągnęli najlepszą wydajność, atakując czujniki ultradźwiękowe, które są najnowsze i zwykle wbudowane w wyświetlacz urządzenia.
Wyniki testu.
Najłatwiejszym sposobem oszukiwania fałszywymi odciskami palców był zamek AICase, a także smartfony Huawei Honor 7x i Samsung Note 9 oparte na Androidzie. W przypadku tych urządzeń ataki zakończyły się powodzeniem w 100%.
Film promocyjny:
Ataki na iPhone'a 8, MacBooka Pro 2018 i Samsunga S10 były prawie równie udane, ze wskaźnikiem sukcesu ponad 90%.
Pięć modeli laptopów z systemem Windows 10 i dwoma dyskami USB (Verbatim Fingerprint Secure i Lexar Jumpdrive F35) wykazało najlepsze wyniki: nie można ich oszukać podróbką.
Tak więc w przypadku telefonów komórkowych badacze pominęli uwierzytelnianie na podstawie linii papilarnych na zdecydowanej większości urządzeń. Na laptopach udało nam się osiągnąć 95% sukcesu (było to szczególnie łatwe z MacBookiem Pro), ale nie dało się w ogóle ominąć ochrony urządzeń z Windows 10 na pokładzie przy użyciu frameworka Windows Hello.
Analitycy piszą, że pomimo tego, że nie udało im się oszukać uwierzytelniania biometrycznego na komputerach z systemem Windows i dyskach USB, nie oznacza to, że są one tak dobrze chronione. Złamanie ich wymaga po prostu innego podejścia. Jest mało prawdopodobne, aby oparli się napastnikowi z dobrym budżetem, dużą ilością zasobów i profesjonalnym zespołem.
Chociaż Samsung A70 również wykazał się odpornością, naukowcy wyjaśniają, że jego uwierzytelnianie biometryczne po prostu działa wyjątkowo słabo i często nie rozpoznaje nawet prawdziwych odcisków palców zarejestrowanych w systemie.
Na podstawie uzyskanych wyników eksperci doszli do wniosku, że technologia uwierzytelniania odcisków palców nie osiągnęła jeszcze poziomu, po przekroczeniu którego można by ją uznać za niezawodną i bezpieczną. W rzeczywistości naukowcy piszą, że uwierzytelnianie odcisków palców smartfonów stało się słabsze od 2013 roku, kiedy Apple wprowadził TouchID dla iPhone'a 5, a następnie system został zhakowany.
Autor: Maria Nefedova