Sormenjälkien hakkerointi on itse asiassa melko helppoa-ja halpaa
elokuvissa ihmiset turvautuvat usein nopeasti siihen, että sahaavat jonkun käden irti päästäkseen sormenjälkiskannerin ohi. Kraken Security Labs-ryhmän raportti osoittaa, että olisi paljon helpompaa—ja vähemmän karmeaa—luoda jonkun sormenjälki uudelleen käyttämällä hieman epävirallista puuliimaa.
Kraken huomauttaa, että biometrinen tietoturva on yleistynyt, kun älypuhelinten, tablettien ja kannettavien tietokoneiden valmistajat ovat liittäneet tuotteisiinsa sormenjälkitunnistimia. Nämä Skannerit tarjoavat kätevän tavan käyttää näitä laitteita antamatta salasanaa.
raportin mukaan sormenjälkiskanneri voidaan ”hakkeroida” käyttämällä kohteen sormenjälkeä kuvaavaa kuvaa, luomalla Photoshopissa negatiivinen kuva, tulostamalla tuloksena oleva kuva ja laittamalla sitten puuliimaa jäljitellyn sormenjäljen päälle, jotta sillä voidaan huijata monia kaupallisia skannereita.
”pystyimme tekemään tämän tunnetun hyökkäyksen valtaosaan niistä laitteista, joita tiimillämme oli testattavana”, Kraken kertoo iskua koskevassa raportissaan. ”Jos tämä olisi ollut todellinen hyökkäys, meillä olisi ollut pääsy laaja valikoima arkaluonteisia tietoja.”
Kraken ei ole ainoa tietoturvayhtiö, joka ymmärtää, että liimaa voi käyttää sormenjälkiskannerin huijaamiseen. Cisco Talos julkaisi huhtikuussa 2020 perusteellisemman raportin, jossa selvitettiin useita tapoja-muun muassa tämä liimatemppu—jonkun sormenjäljen voi väärentää hyökkääjällä.
”testimme osoittivat, että keskimäärin saavutimme ~80 prosentin onnistumisprosentin käyttämällä väärennettyjä sormenjälkiä, joissa sensorit ohitettiin ainakin kerran”, Cisco Talos kertoo. ”Tämän onnistumisprosentin saavuttaminen oli vaikeaa ja työlästä työtä. Löysimme useita skaalaukseen ja materiaalifyysisiin ominaisuuksiin liittyviä esteitä ja rajoituksia. Vaikka niin, tämän tason onnistumisprosentti tarkoittaa, että meillä on erittäin suuri todennäköisyys lukituksen tahansa testattujen laitteiden ennen kuin se putoaa takaisin pin lukituksen.”
Cisco Talos sanoo, että useimpien ihmisten ei tarvitse huolehtia siitä, että joku luo kopion sormenjäljestään päästäkseen käsiksi laitteisiinsa, mutta toteaa, että ”henkilön, joka todennäköisesti on Hyvin rahoitetun ja motivoituneen toimijan kohteena, ei pitäisi käyttää sormenjälkitunnistusta.”
Kraken neuvoo ihmisiä muistamaan, että sormenjälkitunnistuksen ohittaminen on suhteellisen yksinkertaista ja sen osoittamisen perusteella halvempaa kuin moni kuluttaja voisi olettaa. (Vaikka tämä oletus perustuu siihen, että joku jo omistaa lasertulostimen ja Photoshopin.)
”jo pitäisi olla selvää, että vaikka sormenjälkesi on yksilöllinen, sitä voidaan silti hyödyntää suhteellisen helposti”, Kraken sanoo. ”Parhaimmillaankin sitä kannattaa harkita vain toisen tekijän todennuksena (2FA).”