Biometrisk autentisering tros vara ett säkrare alternativ till traditionella lösenord. Fingeravtrycksautentisering är för närvarande den vanligaste formen för biometri och används i smartphones, bärbara datorer och andra enheter som smarta lås och USB-enheter.
En studie av Cisco Talos fann emellertid att 80% av fingeravtrycksautentisering lätt kan förbikopplas.
För sina test tog forskarna fingeravtryck direkt från enhetens målanvändare eller från ytor som ett potentiellt offer hade berört. Samtidigt sätter experter en relativt låg budget för denna studie för att avgöra vad en angripare med begränsade resurser kan uppnå. Så totalt spenderade de ungefär 2 000 dollar på att testa enheter från Apple, Microsoft, Samsung, Huawei och så vidare.
Experterna bearbetade de resulterande utskrifterna med filter för att öka kontrasten, använde en 3D-skrivare för att skapa intryck och bildade sedan ett falskt tryck och fyllde detta formulär med billigt lim. När man arbetade med kapacitiva sensorer måste material också inkludera grafit och aluminiumpulver för att öka konduktiviteten.
Analytiker testade falska fingeravtryck på optiska, kapacitiva och ultraljudsfingeravtrycksscannare, men fann inga signifikanta skillnader vad gäller säkerhet. Men Cisco Talos konstaterar att de uppnådde bästa prestanda genom att attackera ultraljudssensorer, som är de senaste och vanligtvis inbyggda direkt i enhetsdisplayen.
Testresultat.
Det enklaste sättet att fuska med falska fingeravtryck var AICase-låset, liksom Huawei Honor 7x och Samsung Note 9 smartphones baserade på Android. För dessa enheter var attackerna 100% framgångsrika.
Kampanjvideo:
Attackerna på iPhone 8, MacBook Pro 2018 och Samsung S10 var nästan lika framgångsrika, med en framgångsgrad på över 90%.
Fem bärbara modeller med Windows 10 och två USB-enheter (Verbatim Fingerprint Secure och Lexar Jumpdrive F35) visade de bästa resultaten: de kunde inte lura med en falsk.
Således, när det gäller mobiltelefoner, kringgick forskare fingeravtrycksautentisering på de allra flesta enheter. På bärbara datorer lyckades vi uppnå 95% framgång (det var särskilt enkelt med MacBook Pro), men det var inte möjligt att kringgå skyddet för Windows 10-enheter ombord med hjälp av Windows Hello-ramverket alls.
Analytiker skriver att trots att de inte missade biometrisk autentisering på Windows-maskiner och USB-enheter, betyder detta inte att de är så väl skyddade. Det krävs bara ett annat sätt att knäcka dem. Det är osannolikt att de motstår en angripare med en bra budget, massor av resurser och ett professionellt team.
Medan Samsung A70 också har visat motståndskraft, förklarar forskarna att dess biometriska autentisering helt enkelt fungerar extremt dåligt och ofta inte ens känner igen riktiga fingeravtryck som har registrerats med systemet.
Baserat på de erhållna resultaten drar experterna slutsatsen att tekniken för fingeravtrycksautentisering ännu inte har nått den nivå efter vilken den kan betraktas som pålitlig och säker. Faktum är att forskarna skriver att smartphone-fingeravtrycksautentisering har blivit svagare sedan 2013, då Apple introducerade TouchID för iPhone 5, och sedan hackades systemet.
Författare: Maria Nefedova