Az ujjlenyomatok feltörése valójában nagyon egyszerű-és olcsó
a filmekben szereplő emberek gyakran gyorsan igénybe veszik, hogy levágják valakinek a kezét, hogy átjuthassanak az ujjlenyomat-leolvasón. A Kraken Security Labs csapatának jelentése azt mutatja, hogy sokkal könnyebb—és kevésbé hátborzongató – újra létrehozni valaki ujjlenyomatát egy kis polcon kívüli fa ragasztóval.
Kraken megjegyzi, hogy a biometrikus biztonság egyre gyakoribbá vált, mivel az okostelefonok, táblagépek és laptopok gyártói ujjlenyomat-leolvasókat építettek be termékeikbe. Ezek a szkennerek kényelmes módot kínálnak az eszközök eléréséhez jelszó megadása nélkül.
a jelentés szerint az ujjlenyomat-leolvasót “fel lehet csapni” a célpont ujjlenyomatának képével, negatív képet hozva létre a Photoshopban, kinyomtatva a kapott képet, majd némi fa ragasztót helyezve az utánzott ujjlenyomat tetejére, így sok kereskedelmi szkenner becsapására használható.
“képesek voltunk végrehajtani ezt a jól ismert támadást a csapatunk által tesztelésre rendelkezésre álló eszközök többségén”-mondja Kraken a támadásról szóló jelentésében. “Ha ez valódi támadás lett volna, hozzáférhettünk volna érzékeny információk széles skálájához.”
a Kraken nem az egyetlen biztonsági cég, amely rájött, hogy a ragasztó felhasználható az ujjlenyomat-szkenner becsapására. A Cisco Talos 2020 áprilisában mélyebb jelentést tett közzé, amely számos módszert tárt fel—beleértve ezt a ragasztási trükköt is—, hogy valaki ujjlenyomatát meghamisíthatja egy támadó.
“tesztjeink azt mutatták, hogy átlagosan ~80% – os sikert értünk el a hamis ujjlenyomatok használata során, ahol az érzékelőket legalább egyszer megkerülték” – mondja Cisco Talos. “Ennek a sikernek az elérése nehéz és fárasztó munka volt. Számos akadályt és korlátot találtunk a méretezéssel és az anyag fizikai tulajdonságaival kapcsolatban. Ennek ellenére ez a sikerességi arány azt jelenti, hogy nagyon nagy a valószínűsége annak, hogy bármelyik tesztelt eszközt feloldjuk, mielőtt az visszaesik a tű feloldásába.”
Cisco Talos azt mondja, hogy a legtöbb embernek nem kell aggódnia, hogy valaki másolatot készít az ujjlenyomatáról, hogy hozzáférjen az eszközéhez, de megjegyzi, hogy “az a személy, akit valószínűleg egy jól finanszírozott és motivált szereplő céloz meg, ne használjon ujjlenyomat-hitelesítést.”
Kraken azt tanácsolja az embereknek, hogy ne felejtsék el, hogy az ujjlenyomat-alapú hitelesítés megkerülése viszonylag egyszerű, és demonstrációja alapján olcsóbb, mint sok fogyasztó elvárná. (Bár ez a feltételezés azon alapul, hogy valaki már rendelkezik lézernyomtatóval és Photoshoppal.)
“mostanra egyértelműnek kell lennie, hogy bár az ujjlenyomata egyedülálló az Ön számára, mégis viszonylag könnyedén kihasználható” – mondja Kraken. “A legjobb esetben csak második faktoros hitelesítésként (2FA) kell fontolóra vennie.”