Biometrisk autentisering antas å være et sikrere alternativ til tradisjonelle passord. Fingeravtrykkgodkjenning er for tiden den vanligste formen for biometri og brukes i smarttelefoner, bærbare datamaskiner og andre enheter som smartlåser og USB-stasjoner.
Imidlertid fant en studie fra Cisco Talos at 80% av fingeravtrykkgodkjenningen lett kan omgås.
For sine tester tok forskerne fingeravtrykk direkte fra målbrukeren av enheten eller fra overflater som et potensielt offer hadde berørt. Samtidig satte eksperter et relativt lavt budsjett for denne studien for å avgjøre hva en angriper med begrensede ressurser kan oppnå. Så totalt brukte de rundt 2000 dollar på å teste enheter fra Apple, Microsoft, Samsung, Huawei, og så videre.
Ekspertene behandlet de resulterende utskriftene med filtre for å øke kontrasten, brukte en 3D-printer for å skape inntrykk, og dannet et falskt trykk, og fylte dette skjemaet med billig lim. Når man jobbet med kapasitive sensorer, måtte materialer også inkludere grafitt og aluminiumspulver for å øke ledningsevnen.
Analytikere testet de falske fingeravtrykkene på optiske, kapasitive og ultrasoniske fingeravtrykksskannere, men fant ingen signifikante forskjeller når det gjelder sikkerhet. Men Cisco Talos bemerker at de oppnådde den beste ytelsen ved å angripe ultrasoniske sensorer, som er de nyeste og vanligvis innebygd rett i enhetsdisplayet.
Testresultater.
Den enkleste måten å jukse med falske fingeravtrykk var AICase-låsen, samt Huawei Honor 7x og Samsung Note 9 smarttelefoner basert på Android. For disse enhetene var angrep 100% vellykket.
Salgsfremmende video:
Angrep på iPhone 8, MacBook Pro 2018 og Samsung S10 var nesten like vellykkede, med en suksessrate på over 90%.
Fem bærbare modeller med Windows 10 og to USB-stasjoner (Verbatim Fingerprint Secure og Lexar Jumpdrive F35) viste de beste resultatene: De kunne ikke bli lurt med en forfalskning.
Når det gjelder mobiltelefoner, omgås forskere fingeravtrykkgodkjenning på de aller fleste enheter. På bærbare datamaskiner klarte vi å oppnå 95% suksess (det var spesielt enkelt med MacBook Pro), men det var ikke mulig å omgå beskyttelsen av Windows 10-enheter ombord ved hjelp av Windows Hello-rammeverket i det hele tatt.
Analytikere skriver at til tross for at de ikke klarte å lure biometrisk autentisering på Windows-maskiner og USB-stasjoner, betyr ikke dette at de er så godt beskyttet. Det tar bare en annen tilnærming for å knekke dem. De vil neppe motstå en angriper med et godt budsjett, mange ressurser og et profesjonelt team.
Selv om Samsung A70 også har vist spenst, forklarer forskerne at dens biometriske autentisering ganske enkelt fungerer ekstremt dårlig og ofte ikke kjenner igjen virkelige fingeravtrykk som er registrert med systemet.
Basert på de oppnådde resultatene konkluderer eksperter at teknologien for fingeravtrykkgodkjenning ennå ikke har nådd det nivået som den kan anses som pålitelig og sikker. Faktisk skriver forskerne at godkjenning av smarttelefonens fingeravtrykk har blitt svakere siden 2013, da Apple introduserte TouchID for iPhone 5, og da ble systemet hacket.
Forfatter: Maria Nefedova