Biometrická autentifikácia sa považuje za bezpečnejšiu alternatívu k tradičným heslám. Autentifikácia pomocou odtlačkov prstov je v súčasnosti najbežnejšou formou biometrie a používa sa v smartfónoch, prenosných počítačoch a ďalších zariadeniach, ako sú inteligentné zámky a jednotky USB.
Štúdia spoločnosti Cisco Talos však zistila, že 80% autentifikácie odtlačkov prstov možno ľahko obísť.
Vedci na svoje testy odobrali odtlačky prstov priamo od cieľového používateľa zariadenia alebo z povrchov, ktorých sa potenciálna obeť dotkla. Odborníci zároveň stanovili pre túto štúdiu relatívne nízky rozpočet na určenie toho, čo môže útočník s obmedzenými zdrojmi dosiahnuť. Celkovo teda strávili asi 2 000 dolárov na testovanie zariadení od spoločností Apple, Microsoft, Samsung, Huawei atď.
Odborníci spracovali výsledné výtlačky pomocou filtrov na zvýšenie kontrastu, na vytvorenie dojmu použili 3D tlačiareň a potom vytvorili falošnú tlač, ktorá vyplnila tento formulár lacným lepidlom. Pri práci s kapacitnými snímačmi museli materiály obsahovať grafit a prášok hliníka, aby sa zvýšila vodivosť.
Analytici testovali falošné odtlačky prstov na optických, kapacitných a ultrazvukových snímačoch odtlačkov prstov, nezistili však žiadne významné rozdiely, pokiaľ ide o bezpečnosť. Cisco Talos však poznamenáva, že najlepší výkon dosiahli útokom na ultrazvukové senzory, ktoré sú najnovšie a zvyčajne sú zabudované priamo do displeja zariadenia.
Výsledky testu.
Najjednoduchší spôsob podvádzania pomocou falošných odtlačkov prstov bol zámok AICase, ako aj smartfóny Huawei Honor 7x a Samsung Note 9 založené na systéme Android. Pre tieto zariadenia boli útoky 100% úspešné.
Propagačné video:
Útoky na iPhone 8, MacBook Pro 2018 a Samsung S10 boli takmer také úspešné, s úspešnosťou viac ako 90%.
Najlepšie výsledky dosiahli päť modelov prenosných počítačov so systémom Windows 10 a dvoma jednotkami USB (Verbatim Fingerprint Secure a Lexar Jumpdrive F35).
V prípade mobilných telefónov tak vedci obchádzali autentizáciu pomocou odtlačkov prstov na veľkej väčšine zariadení. Na prenosných počítačoch sa nám podarilo dosiahnuť 95% úspech (bolo to obzvlášť ľahké pri MacBook Pro), ale ochranu zariadení Windows 10 na palube nebolo možné obísť vôbec pomocou rámca Windows Hello vôbec.
Analytici píšu, že aj napriek tomu, že nedokázali klamať biometrickú autentifikáciu na počítačoch so systémom Windows a na jednotkách USB, neznamená to, že sú tak dobre chránení. Na to, aby ste ich prelomili, je potrebný iný prístup. Je nepravdepodobné, že by odolali útočníkovi s dobrým rozpočtom, množstvom zdrojov a profesionálnym tímom.
Aj keď Samsung A70 tiež preukázal odolnosť, vedci vysvetľujú, že jeho biometrická autentifikácia jednoducho funguje veľmi zle a často ani nerozpozná skutočné odtlačky prstov, ktoré boli zaregistrované v systéme.
Na základe získaných výsledkov dospeli odborníci k záveru, že technológia autentifikácie odtlačkov prstov ešte nedosiahla úroveň, po ktorej možno považovať za spoľahlivú a bezpečnú. Vedci v skutočnosti píšu, že autentifikácia odtlačkov prstov smartfónov sa stala slabšou od roku 2013, keď spoločnosť Apple predstavila TouchID pre iPhone 5 a potom bol systém napadnutý hackermi.
Autor: Maria Nefedova