지문을 해킹하는 것은 실제로 매우 쉽고 저렴합니다.
영화 속 사람들은 종종 지문 스캐너를 지나치기 위해 누군가의 손을 자르는 것에 빠르게 의지합니다. 크라켄 보안 연구소 팀의 보고서는 훨씬 쉽게 될 것을 보여줍니다—덜 소름 끼치는—기성 나무 접착제의 약간을 사용하여 다른 사람의 지문을 다시합니다.
크라켄은 스마트 폰,태블릿 및 노트북 제조업체가 지문 스캐너를 제품에 통합함에 따라 생체 인식 보안이 점점 보편화되고 있다고 지적했습니다. 이 스캐너는 암호를 입력하지 않고 해당 장치에 액세스 할 수있는 편리한 방법을 제공합니다.
보고서에 따르면 지문 스캐너는 대상의 지문 사진을 사용하여 포토샵에서 네거티브를 만들고 결과 이미지를 인쇄 한 다음 모방 된 지문 위에 나무 접착제를 붙여 많은 상업용 스캐너를 속이는 데 사용할 수 있다고합니다.
“우리는 우리 팀이 테스트 할 수있는 대부분의 장치에서 잘 알려진 공격을 수행 할 수있었습니다.”라고 크라켄은 공격에 대한 보고서에서 말합니다. “이것이 진짜 공격 이었다면,우리는 광범위한 민감한 정보에 접근 할 수 있었을 것입니다.”
크라켄은 접착제가 지문 스캐너를 속일 수 있다는 것을 깨닫는 유일한 보안 회사는 아닙니다. 시스코 탈로스는 2020 년 4 월에 여러 가지 방법을 탐구 한 심층적 인 보고서를 발표했습니다.이 접착제 트릭을 포함하여 누군가의 지문이 공격자에 의해 스푸핑 될 수 있습니다.
“우리의 테스트 결과에 따르면 평균적으로 센서가 적어도 한 번 우회 된 가짜 지문을 사용하는 동안~80%의 성공률을 달성했습니다.”라고 시스코 탈로스는 말합니다. “이 성공률에 도달하는 것은 어렵고 지루한 작업이었습니다. 우리는 스케일링 및 재료 물리적 특성과 관련된 몇 가지 장애물과 한계를 발견했습니다. 그럼에도 불구하고,성공률의이 수준은 우리가 다시 핀 잠금 해제에 빠지기 전에 테스트 장치 중 하나를 잠금 해제의 매우 높은 확률을 가지고 있다는 것을 의미한다.”
시스코 탈로스는 대부분의 사람들이 자신의 장치에 액세스하기 위해 자신의 지문의 복사본을 만드는 사람에 대해 걱정할 필요가 없습니다 말한다,하지만 잘 투자하고 동기를 배우의 대상이 될 가능성이있는 사람은 지문 인증을 사용해서는 안”고 지적한다.”
크라켄은 지문 기반 인증을 우회하는 것은 상대적으로 간단하고,그 데모를 기반으로,많은 소비자가 예상하는 것보다 저렴 것을 기억하는 사람들을 조언한다. (그 가정은 이미 레이저 프린터와 포토샵을 소유 한 사람을 기반으로하지만.
“지문은 고유하지만 상대적으로 쉽게 악용 될 수 있음을 분명히해야합니다.”라고 크라켄은 말합니다. “기껏해야,당신은 단지 두 번째 요소 인증(2 파)로 사용하는 것이 좋습니다.”