Smatra se da je biometrijska autentifikacija sigurnija alternativa tradicionalnim lozinkama. Autentifikacija otiska prsta trenutno je najčešći oblik biometrije, a koristi se u pametnim telefonima, prijenosnim računalima i drugim uređajima poput pametnih brava i USB pogona.
Međutim, istraživanje Cisco Talos otkrilo je da se 80% provjere autentičnosti otiska prsta mogu lako zaobići.
Za potrebe svojih testova, istraživači su uzeli otiske prstiju izravno od ciljanog korisnika uređaja ili s površina koje je potencijalna žrtva dotaknula. Istovremeno, stručnjaci postavljaju relativno nizak proračun za ovu studiju kako bi utvrdili što napadač s ograničenim resursima može postići. Dakle, ukupno su potrošili oko 2000 dolara na testiranje uređaja iz Applea, Microsofta, Samsunga, Huaweija i tako dalje.
Stručnjaci su dobivene otiske obrađivali filtrima kako bi povećali kontrast, koristili 3D pisač za stvaranje dojmova, a zatim su formirali lažni otisak, ispunjavajući ovaj obrazac jeftinim ljepilom. Kad su radili s kapacitivnim senzorima, materijali su također trebali uključivati grafit i aluminij u prahu za povećanje vodljivosti.
Analitičari su testirali lažne otiske prstiju na optičkim, kapacitivnim i ultrazvučnim skenerima otiska prsta, ali nisu otkrili značajne razlike u pogledu sigurnosti. No, Cisco Talos primjećuje da su postigli najbolje performanse napadom na ultrazvučne senzore, koji su najnoviji i obično ugrađeni u zaslon uređaja.
Rezultati ispitivanja.
Lažni način varanja s lažnim otiscima prstiju bio je zaključavanje AICase, kao i Huawei Honor 7x i Samsung Note 9 pametni telefoni temeljeni na Androidu. Za ove uređaje napadi su bili 100% uspješni.
Promotivni video:
Napadi na iPhone 8, MacBook Pro 2018 i Samsung S10 bili su gotovo jednako uspješni, sa stopom uspješnosti od preko 90%.
Pet modela prijenosnih računala s operativnim sustavom Windows 10 i dva USB pogona (Verbatim Fingerprint Secure i Lexar Jumpdrive F35) pokazali su najbolje rezultate: nisu ih mogli prevariti lažiranjem.
Dakle, u slučaju mobilnih telefona, istraživači su zaobišli provjeru autentičnosti otiska prsta na velikoj većini uređaja. Na prijenosnim računalima uspjeli smo postići 95% uspjeha (to je bilo posebno lako kod MacBook Pro-a), ali nije bilo moguće zaobići zaštitu Windows 10 uređaja na brodu koristeći Windows Hello Framework.
Analitičari pišu da, unatoč činjenici da nisu uspjeli prevariti biometrijsku provjeru identiteta na Windows strojevima i USB pogonima, to ne znači da su tako dobro zaštićeni. Samo je potreban drugačiji pristup da se ispucaju. Vjerojatno neće odoljeti napadaču s dobrim proračunom, puno resursa i profesionalnim timom.
Iako je Samsung A70 također pokazao otpornost, istraživači objašnjavaju da njegova biometrijska provjera autentičnosti djeluje izuzetno slabo i često ne prepoznaje stvarne otiske prstiju koji su registrirani u sustavu.
Na temelju dobivenih rezultata stručnjaci zaključuju da tehnologija provjere autentičnosti otiska prsta još nije dostigla razinu nakon koje se može smatrati pouzdanom i sigurnom. U stvari, istraživači pišu da je provjera autentičnosti otisaka na pametnim telefonima postala slabija od 2013. godine, kada je Apple uveo TouchID za iPhone 5, a tada je sustav bio hakiran.
Autor: Maria Nefedova