Biometrická autentizace je považována za bezpečnější alternativu k tradičním heslům. Ověřování otisků prstů je v současné době nejběžnější formou biometrie a používá se v chytrých telefonech, notebookech a dalších zařízeních, jako jsou inteligentní zámky a jednotky USB.
Studie společnosti Cisco Talos však zjistila, že 80% autentizace pomocí otisků prstů lze snadno obejít.
Pro své testy vědci odebrali otisky prstů přímo od cílového uživatele zařízení nebo z povrchů, kterých se potenciální oběť dotkla. Odborníci současně stanovili pro tuto studii relativně nízký rozpočet, aby určili, čeho může útočník s omezenými zdroji dosáhnout. Celkem tedy na testování zařízení od společností Apple, Microsoft, Samsung, Huawei atd. Utratili zhruba 2 000 USD.
Odborníci zpracovali výsledné výtisky s filtry pro zvýšení kontrastu, pomocí 3D tiskárny vytvořili dojmy, a poté vytvořili falešný tisk a vyplnili tento formulář levným lepidlem. Při práci s kapacitními senzory musely materiály zahrnovat grafit a hliníkový prášek, aby se zvýšila vodivost.
Analytici testovali falešné otisky prstů na optických, kapacitních a ultrazvukových snímačech otisků prstů, ale nezjistili žádné významné rozdíly, pokud jde o bezpečnost. Cisco Talos však poznamenává, že nejlepšího výkonu dosáhli útokem na ultrazvukové senzory, které jsou nejnovější a obvykle zabudované přímo do displeje zařízení.
Výsledky testů.
Nejjednodušší způsob, jak podvádět falešnými otisky prstů, byl zámek AICase a smartphony Huawei Honor 7x a Samsung Note 9 založené na Androidu. U těchto zařízení byly útoky 100% úspěšné.
Propagační video:
Útoky na iPhone 8, MacBook Pro 2018 a Samsung S10 byly téměř stejně úspěšné, s úspěšností více než 90%.
Pět modelů notebooků se systémem Windows 10 a dvěma jednotkami USB (Verbatim Fingerprint Secure a Lexar Jumpdrive F35) vykázalo nejlepší výsledky: nemohly být oklamány falešně.
V případě mobilních telefonů tak vědci obešli ověřování otisků prstů na velké většině zařízení. U notebooků se podařilo dosáhnout 95% úspěchu (bylo to obzvláště snadné u MacBook Pro), ale nebylo možné obejít ochranu zařízení Windows 10 na palubě pomocí rámce Windows Hello vůbec.
Analytici píší, že navzdory skutečnosti, že se jim nepodařilo podvádět biometrickou autentizaci na počítačích se systémem Windows a na jednotkách USB, neznamená to, že jsou tak dobře chráněni. Je to jiný přístup k jejich prasknutí. Je nepravděpodobné, že by odolali útočníkovi s dobrým rozpočtem, množstvím zdrojů a profesionálním týmem.
Zatímco Samsung A70 také prokázal odolnost, vědci vysvětlují, že jeho biometrická autentizace jednoduše funguje velmi špatně a často ani nerozpoznává skutečné otisky prstů, které byly zaregistrovány v systému.
Na základě získaných výsledků odborníci došli k závěru, že technologie ověřování otisků prstů ještě nedosáhla úrovně, po které lze považovat za spolehlivou a bezpečnou. Ve skutečnosti vědci píší, že ověřování otisků prstů smartphonů se od roku 2013, kdy Apple představil TouchID pro iPhone 5, oslabilo a systém byl napaden hackery.
Autor: Maria Nefedova