Дослідження експертів Cisco Talos показало, що в 80% випадків аутентифікацію за відбитками пальців можна запросто обійти за допомогою фейкової копії, надрукованої на 3D-принтері.
Відбитки пальців для тестів отримували трьома способами: безпосередньо у користувача пристрою, з взломаної системи збору відбитків і з поверхонь, до яких торкалась людина. На перевірку кожного з трьох методів на кожному пристрої давалося по 20 спроб.
При цьому для дослідження було встановлено відносно низький бюджет, щоб визначити, чого може досягти атакуючий з обмеженими ресурсами. На тестування пристроїв Apple, Microsoft, Samsung, Huawei та інших відомих брендів було витрачено близько $ 2 тисяч.
Отримані відбитки обробляли фільтрами для підвищення контрастності, після чого за допомогою 3D-принтерів створювалися відливні форми, а самі підроблені відбитки - зі спеціального полімеру.
Відбитки перевіряли на оптичних, ємнісних і ультразвукових дактилоскопічних сканерах. Найбільш уразливими виявилися ультразвукові сенсори, які є новітніми і зазвичай вбудовані в дисплей пристрою.
Найлегше обдурити за допомогою штучних відбитків пальців вдалося смарт-замок AICase, а також смартфони Huawei Honor 7x і Samsung Note 9 на базі Android. Атаки на ці гаджети були успішними в 100% випадків. Трохи безпечніше виявилися iPhone 8, MacBook Pro 2018 і Samsung S10, чиї сканери піддалися обману в понад 90% випадків.
Хорошу стійкість продемонстрував Samsung A70, але дослідники пояснюють це тим, що його сканер просто працює вкрай погано і часто не розпізнає навіть реальні відбитки пальців, зареєстровані в системі.
Найкращі результати показали п'ять моделей ноутбуків під управлінням Windows 10 і два USB-накопичувача (Verbatim Fingerprint Secure і Lexar Jumpdrive F35): обдурити їх за допомогою фальшивки не вдалося.
Таким чином, дослідники обійшли аутентифікацію за відбитками пальців на переважній більшості смартфонів. На ноутбуках успіх склав 95% (особливо легко було з MacBook Pro), а обійти захист пристроїв з Windows 10, що використовують фреймворк Windows Hello, не вдалося зовсім.
Аналітики пишуть, що хоча обдурити біометричну аутентифікацію на Windows-пристроях і USB-накопичувачах їм не вдалося, це не означає, що вони так добре захищені, і не факт, що вони встоять перед іншими підходами для злому або атакуючим з великим бюджетом, ресурсами і професійною командою.
Фахівці роблять висновок, що технологія аутентифікації за відбитками пальців ще не досягла рівня, на якому її можна було б вважати надійною і безпечною. Фактично, пишуть вони, на смартфонах технологія стала слабшою у порівнянні з 2013 роком, коли Apple представила TouchID для iPhone 5, а потім ця система була зламана.
Власникам пристроїв, на яких міститься конфіденційна інформація, експерти Cisco радять використовувати надійні паролі і двухфакторную аутентифікацію на основі токенів.
0 комментариев
Добавить комментарий