A biometrikus hitelesítésről úgy gondolják, hogy biztonságosabb alternatívája a hagyományos jelszavaknak. Az ujjlenyomat-hitelesítés a biometria leggyakoribb formája, és okostelefonokban, laptopokban és más eszközökben, például intelligens zárakban és USB-meghajtókban használják.
A Cisco Talos tanulmánya azonban azt találta, hogy az ujjlenyomat-hitelesítés 80% -a könnyen megkerülhető.
Vizsgálataikhoz a kutatók ujjlenyomatokat vettek közvetlenül az eszköz célfelhasználójától vagy olyan felületektől, amelyeket egy potenciális áldozat megérintett. Ugyanakkor a szakértők viszonylag alacsony költségvetést állítottak fel ehhez a tanulmányhoz annak meghatározására, hogy a korlátozott erőforrásokkal rendelkező támadó mit érhet el. Tehát összesen körülbelül 2000 dollárt költöttek az Apple, a Microsoft, a Samsung, a Huawei stb. Készülékeinek tesztelésére.
A szakértők a kapott nyomatokat szűrőkkel dolgozták fel a kontraszt növelése érdekében, 3D nyomtatót használtak lenyomatok készítéséhez, majd hamis nyomatot készítettek, ezt az űrlapot olcsó ragasztóval kitöltve. A kapacitív érzékelőkkel végzett munka során az anyagoknak grafitot és alumíniumport is tartalmazniuk kellett a vezetőképesség növelése érdekében.
Az elemzők a hamis ujjlenyomatokat optikai, kapacitív és ultrahangos ujjlenyomat-leolvasókkal tesztelték, de a biztonság szempontjából nem találtak szignifikáns különbségeket. A Cisco Talos azonban megjegyzi, hogy a legjobb teljesítményt ultrahangérzékelők megtámadásával érik el, amelyek a legújabb és általában közvetlenül az eszköz kijelzőjébe épülnek.
Vizsgálati eredmények.
A hamis ujjlenyomatokkal való csalás legegyszerűbb módja az AICase zár volt, valamint az Android alapú Huawei Honor 7x és Samsung Note 9 okostelefonok. Ezen eszközök esetében a támadások 100% -ban sikeresek voltak.
Promóciós videó:
Az iPhone 8, a MacBook Pro 2018 és a Samsung S10 elleni támadások szinte ugyanolyan sikeresek voltak, több mint 90% -os sikerrel.
Öt Windows 10-et és két USB-meghajtót futtató laptopmodell (Verbatim Fingerprint Secure és Lexar Jumpdrive F35) mutatta a legjobb eredményt: hamisítással nem lehet őket megtéveszteni.
Így a mobiltelefonok esetében a kutatók az eszközök nagy többségén megkerülték az ujjlenyomat-hitelesítést. A laptopokon 95% -os sikert sikerült elérnünk (ez különösen könnyű volt a MacBook Pro esetén), de egyáltalán nem lehetett megkerülni a fedélzeten lévő Windows 10 eszközök védelmét a Windows Hello keretrendszer használatával.
Az elemzők azt írják, hogy annak ellenére, hogy nem sikerült megtéveszteni a biometrikus hitelesítést a Windows gépeken és az USB meghajtókon, ez nem azt jelenti, hogy ilyen védettek lennének. Csak más megközelítést igényel, hogy megtörje őket. Nem valószínű, hogy jó költségvetéssel, rengeteg erőforrással és profi csapattal ellenállnak a támadóknak.
Miközben a Samsung A70 ellenálló képességet is mutatott, a kutatók elmagyarázzák, hogy biometrikus hitelesítése rendkívül rosszul működik, és gyakran nem is ismeri fel a rendszerben regisztrált valódi ujjlenyomatokat.
A kapott eredmények alapján a szakértők arra a következtetésre jutnak, hogy az ujjlenyomat-hitelesítési technológia még nem érte el azt a szintet, amely után megbízhatónak és biztonságosnak tekinthető. Valójában a kutatók azt írják, hogy az okostelefonok ujjlenyomat-hitelesítése 2013 óta gyengébbé vált, amikor az Apple bevezette a TouchID-t az iPhone 5-hez, majd a rendszert feltörték.
Szerző: Maria Nefedova