Tiek uzskatīts, ka biometriskā autentifikācija ir drošāka alternatīva tradicionālajām parolēm. Pirkstu nospiedumu autentifikācija pašlaik ir visizplatītākā biometrijas forma, un to izmanto viedtālruņos, klēpjdatoros un citās ierīcēs, piemēram, viedajās slēdzenēs un USB diskdziņos.
Tomēr Cisco Talos pētījums atklāja, ka 80% no pirkstu nospiedumu autentificēšanas var viegli apiet.
Pārbaudēm pētnieki pirkstu nospiedumus paņēma tieši no ierīces mērķa lietotāja vai no virsmām, kurām potenciālais upuris bija pieskāries. Tajā pašā laikā eksperti šim pētījumam noteica salīdzinoši mazu budžetu, lai noteiktu, ko var sasniegt uzbrucējs ar ierobežotiem resursiem. Tātad kopumā viņi iztērēja apmēram 2000 USD, lai pārbaudītu ierīces no Apple, Microsoft, Samsung, Huawei utt.
Eksperti apstrādāja iegūtās izdrukas ar filtriem, lai palielinātu kontrastu, izmantoja 3D printeri, lai radītu iespaidus, un pēc tam izveidoja viltotu izdruku, aizpildot šo veidlapu ar lētu līmi. Strādājot ar kapacitatīvajiem sensoriem, materiālos bija jāiekļauj arī grafīts un alumīnija pulveris, lai palielinātu vadītspēju.
Analītiķi viltus pirkstu nospiedumus pārbaudīja uz optiskiem, kapacitīviem un ultraskaņas pirkstu nospiedumu skeneriem, bet drošības ziņā būtiskas atšķirības nekonstatēja. Bet Cisco Talos atzīmē, ka vislabāko sniegumu viņi sasniedza, uzbrūkot ultraskaņas sensoriem, kas ir jaunākie un parasti iebūvēti tieši ierīces displejā.
Testa rezultāti.
Vienkāršākais veids, kā apkrāpt ar viltus pirkstu nospiedumiem, bija AICase atslēga, kā arī viedtālruņi Huawei Honor 7x un Samsung Note 9, kuru pamatā ir Android. Šajās ierīcēs uzbrukumi bija 100% veiksmīgi.
Reklāmas video:
Gandrīz tikpat veiksmīgi tika veikti uzbrukumi iPhone 8, MacBook Pro 2018 un Samsung S10, panākumu līmenis pārsniedzot 90%.
Pieci klēpjdatoru modeļi, kuros darbojas operētājsistēma Windows 10, un divi USB diskdziņi (Verbatim Fingerprint Secure un Lexar Jumpdrive F35) uzrādīja labākos rezultātus: tos nevarēja maldināt ar viltus palīdzību.
Tādējādi mobilo tālruņu gadījumā pētnieki apiet pirkstu nospiedumu autentifikāciju lielākajā daļā ierīču. Klēpjdatoros mums izdevās sasniegt 95% panākumu (tas bija īpaši viegli ar MacBook Pro), taču vispār nebija iespējams apiet to ierīču aizsardzību, kurās ir iebūvēta Windows 10, izmantojot Windows Hello sistēmu.
Analītiķi raksta, ka, neskatoties uz to, ka viņiem neizdevās maldināt biometrisko autentifikāciju Windows mašīnās un USB diskdziņos, tas nenozīmē, ka tie ir tik labi aizsargāti. Lai tos uzlauztu, vajadzīga tikai atšķirīga pieeja. Maz ticams, ka viņi pretosies uzbrucējam ar labu budžetu, daudz līdzekļu un profesionālu komandu.
Kaut arī Samsung A70 ir arī demonstrējis noturību, pētnieki skaidro, ka tā biometriskā autentifikācija vienkārši darbojas ārkārtīgi vāji un bieži pat neatzīst reālos pirkstu nospiedumus, kas reģistrēti sistēmā.
Balstoties uz iegūtajiem rezultātiem, eksperti secina, ka pirkstu nospiedumu autentifikācijas tehnoloģija vēl nav sasniegusi līmeni, pēc kura to var uzskatīt par uzticamu un drošu. Faktiski pētnieki raksta, ka viedtālruņu pirkstu nospiedumu autentifikācija ir kļuvusi vājāka kopš 2013. gada, kad Apple ieviesa TouchID iPhone 5, un pēc tam sistēma tika uzlauzta.
Autore: Marija Nefedova