Hacking Fingeravtrykk Er Faktisk Ganske Enkelt-Og Billig
Folk i filmer er ofte raske til å ty til å sage av noens hånd for å komme forbi en fingeravtrykkskanner. En rapport fra Kraken Security Labs-Teamet viser at det ville være mye lettere—og mindre grusomt—å gjenskape noens fingeravtrykk ved hjelp av en liten bit av hyllestlim.
Kraken bemerker at biometrisk sikkerhet har blitt stadig mer vanlig som smarttelefon, nettbrett og bærbare produsenter har innarbeidet fingeravtrykkskannere i sine produkter. Disse skannerne tilbyr en praktisk måte å få tilgang til disse enhetene uten å skrive inn et passord.
rapporten sier at en fingeravtrykkskanner kan «hackes» ved å bruke et bilde av målets fingeravtrykk, skape et negativt i Photoshop, skrive ut det resulterende bildet, og deretter sette litt trelim på toppen av det imiterte fingeravtrykket, slik at det kan brukes til å lure mange kommersielle skannere.
«Vi var i stand til å utføre dette velkjente angrepet på de fleste enhetene vårt team hadde tilgjengelig for testing,» Sier Kraken i sin rapport om angrepet. «Hadde dette vært et reelt angrep, ville vi ha hatt tilgang til et stort spekter av sensitiv informasjon.»
Kraken Er ikke det eneste sikkerhetsselskapet som innser at lim kan brukes til å lure en fingeravtrykkskanner. Cisco Talos publiserte en mer grundig rapport i April 2020 som utforsket flere måter-inkludert dette limtricket-noen fingeravtrykk kunne bli spoofed av en angriper.
» våre tester viste at vi i gjennomsnitt oppnådde en ~ 80 prosent suksessrate ved bruk av falske fingeravtrykk, hvor sensorene ble omgått minst en gang, Sier Cisco Talos. «Å nå denne suksessraten var vanskelig og kjedelig arbeid . Vi fant flere hindringer og begrensninger knyttet til skalering og materielle fysiske egenskaper. Likevel betyr dette nivået av suksessrate at vi har en svært høy sannsynlighet for å låse opp noen av de testede enhetene før den faller tilbake i pin-opplåsingen.»
Cisco Talos sier at de fleste ikke trenger å bekymre seg for at noen lager en kopi av fingeravtrykket for å få tilgang til enhetene sine, men bemerker at «en person som sannsynligvis vil bli målrettet av en velfinansiert og motivert skuespiller, bør ikke bruke fingeravtrykksautentisering.»
Kraken råder folk til å huske at omgåelsen fingeravtrykk-basert autentisering er relativt enkel, og basert på sin demonstrasjon, billigere enn mange forbrukere kan forvente. (Selv om denne antagelsen er basert på noen som allerede eier en laserskriver og Photoshop.)
» Det skal være klart nå at mens fingeravtrykket ditt er unikt for deg, kan det fortsatt utnyttes relativt enkelt,» Sier Kraken. «I beste fall bør du bare vurdere å bruke den som andre faktorautentisering (2fa).»