Biometrisen todennuksen uskotaan olevan turvallisempi vaihtoehto perinteisille salasanoille. Sormenjälkitunnistus on tällä hetkellä yleisin biometrian muoto, ja sitä käytetään älypuhelimissa, kannettavissa tietokoneissa ja muissa laitteissa, kuten älykkäissä lukkoissa ja USB-asemissa.
Cisco Talosin tutkimuksessa todettiin kuitenkin, että 80% sormenjälkien todentamisesta voidaan helposti ohittaa.
Tutkimuksissaan tutkijat ottivat sormenjäljet suoraan laitteen kohdekäyttäjältä tai pinnoilta, joita potentiaalinen uhri oli koskettanut. Samanaikaisesti asiantuntijat asettavat tutkimukselle suhteellisen alhaisen budjetin selvittääkseen, mitä hyökkääjä, jolla on rajalliset resurssit, voi saavuttaa. Joten he käyttivät yhteensä noin 2000 dollaria Applen, Microsoftin, Samsungin, Huawein ja niin edelleen laitteiden testaamiseen.
Asiantuntijat käsittelivät tuloksena olevat tulosteet suodattimilla kontrastin lisäämiseksi, käyttivät 3D-tulostinta luomien jäljennösten ja muodostivat sitten väärennetyn tulostamisen täyttämällä lomake halvalla liimalla. Kapasitiivisten antureiden kanssa työskennellessä materiaalien oli myös sisällettävä grafiitti- ja alumiinijauhetta johtavuuden lisäämiseksi.
Analyytikot testasivat vääriä sormenjälkiä optisilla, kapasitiivisilla ja ultraäänisormenlukijalla, mutta eivät löytäneet merkittäviä eroja turvallisuuden suhteen. Mutta Cisco Talos toteaa, että he saavuttivat parhaan suorituskyvyn hyökkäämällä ultraääni-antureihin, jotka ovat uusimmat ja yleensä rakennettu suoraan laitteen näyttöön.
Testitulokset.
Helpoin tapa pettää vääriä sormenjälkiä oli AICase-lukko, samoin kuin Android-pohjaiset Huawei Honor 7x- ja Samsung Note 9-älypuhelimet. Näiden laitteiden hyökkäykset olivat 100% onnistuneita.
Mainosvideo:
IPhone 8: n, MacBook Pro 2018: n ja Samsung S10: n hyökkäykset olivat melkein yhtä onnistuneita, ja niiden onnistumisaste oli yli 90%.
Viisi kannettavaa tietokonemallia, joissa on Windows 10 ja kaksi USB-asemaa (Verbatim Fingerprint Secure ja Lexar Jumpdrive F35), tuottivat parhaat tulokset: niitä ei voitu pettää väärennettynä.
Siksi matkapuhelimien tapauksessa tutkijat ohittivat sormenjälkitunnistuksen useimmissa laitteissa. Kannettavissa tietokoneissa onnistuimme saavuttamaan 95%: n menestys (se oli erityisen helppoa MacBook Pron kanssa), mutta aluksella olevien Windows 10 -laitteiden suojausta Windows Hello -kehystä käyttämällä ei ollut mahdollista ohittaa.
Analyytikot kirjoittavat, että huolimatta siitä, että he eivät pettäneet biometristä todennusta Windows-koneissa ja USB-asemissa, tämä ei tarkoita, että ne ovat niin hyvin suojattuja. Niiden murtamiseen tarvitaan vain erilainen lähestymistapa. He eivät todennäköisesti vastusta hyökkääjää hyvällä budjetilla, runsaalla resursseilla ja ammattitaitoisella joukkueella.
Vaikka Samsung A70 on myös osoittanut joustavuutta, tutkijat selittävät, että sen biometrinen todennus toimii yksinkertaisesti erittäin huonosti eikä usein edes tunnista todellisia sormenjälkiä, jotka on rekisteröity järjestelmään.
Saatujen tulosten perusteella asiantuntijat päättelevät, että sormenjälkitunnistustekniikka ei ole vielä saavuttanut tasoa, jonka jälkeen sitä voidaan pitää luotettavana ja turvallisena. Itse asiassa tutkijat kirjoittavat, että älypuhelimien sormenjälkitunnistus on heikentynyt vuodesta 2013, jolloin Apple esitteli TouchID -sovelluksen iPhone 5: lle, ja sitten järjestelmää hakkeroitiin.
Kirjoittaja: Maria Nefedova