Hacking fingeraftryk er faktisk ret nemt-og billigt
folk i film er ofte hurtige til at ty til at savne en persons hånd for at komme forbi en fingeraftryksscanner. En rapport fra Kraken Security Labs—teamet viser, at det ville være meget lettere—og mindre grusomt-at genskabe nogens fingeraftryk ved hjælp af en lille smule trælim uden for hylden.
Kraken bemærker, at biometrisk sikkerhed er blevet mere og mere almindelig, da smartphone -, tablet-og bærbare producenter har indarbejdet fingeraftryksscannere i deres produkter. Disse scannere tilbyder en bekvem måde at få adgang til disse enheder uden at indtaste en adgangskode.
rapporten siger, at en fingeraftryksscanner kan “hackes” ved at bruge et billede af målets fingeraftryk, skabe et negativt i Photoshop, udskrive det resulterende billede og derefter lægge noget trælim oven på det efterlignede fingeraftryk, så det kan bruges til at narre mange kommercielle scannere.
“vi var i stand til at udføre dette velkendte angreb på de fleste enheder, som vores team havde til rådighed til test,” siger Kraken i sin rapport om angrebet. “Havde dette været et rigtigt angreb, ville vi have haft adgang til en lang række følsomme oplysninger.”
Kraken er ikke det eneste sikkerhedsfirma, der indser, at lim kan bruges til at narre en fingeraftryksscanner. Cisco Talos offentliggjorde en mere dybtgående rapport i April 2020, der udforskede flere måder—inklusive dette limtrick—nogens fingeraftryk kunne forfalskes af en angriber.
” vores test viste, at vi i gennemsnit opnåede en ~80 procent succesrate, mens vi brugte de falske fingeraftryk, hvor sensorerne blev omgået mindst en gang,” siger Cisco Talos. “At nå denne succesrate var vanskeligt og kedeligt arbejde. Vi fandt flere forhindringer og begrænsninger relateret til skalering og materielle fysiske egenskaber. Alligevel betyder dette niveau af succesrate, at vi har en meget stor sandsynlighed for at låse nogen af de testede enheder op, før den falder tilbage i pin-oplåsningen.”
Cisco Talos siger, at de fleste mennesker ikke behøver at bekymre sig om, at nogen opretter en kopi af deres fingeraftryk for at få adgang til deres enheder, men bemærker, at ” en person, der sandsynligvis vil blive målrettet af en velfinansieret og motiveret skuespiller, ikke bør bruge fingeraftryksgodkendelse.”
Kraken råder folk til at huske, at det er relativt enkelt at omgå fingeraftryksbaseret godkendelse og baseret på dens demonstration billigere end mange forbrugere kunne forvente. (Selvom denne antagelse er baseret på en person, der allerede ejer en laserprinter og Photoshop.)
“det skal nu være klart, at mens dit fingeraftryk er unikt for dig, kan det stadig udnyttes relativt let,” siger Kraken. “I bedste fald bør du kun overveje at bruge det som andenfaktorautentificering (2FA).”