Het hacken van vingerafdrukken Is eigenlijk vrij eenvoudig–en goedkoop
mensen in films zijn vaak snel hun toevlucht nemen tot het afzagen van iemands hand om langs een vingerafdrukscanner te komen. Een rapport van het Kraken Security Labs-Team laat zien dat het veel gemakkelijker—en minder gruwelijk—zou zijn om iemands vingerafdruk na te bootsen met behulp van een beetje kant-en-klare houtlijm.Kraken merkt op dat biometrische beveiliging steeds vaker voorkomt omdat fabrikanten van smartphones, tablets en laptops vingerafdrukscanners in hun producten hebben verwerkt. Deze scanners bieden een handige manier om toegang te krijgen tot deze apparaten zonder het invoeren van een wachtwoord.
het rapport zegt dat een vingerafdrukscanner kan worden “gehackt” door het gebruik van een foto van de vingerafdruk van het doel, het creëren van een negatief in Photoshop, het afdrukken van de resulterende afbeelding, en dan wat houtlijm op de nagebootste vingerafdruk zodat het kan worden gebruikt om veel commerciële scanners te misleiden.
” we waren in staat om deze bekende aanval uit te voeren op de meerderheid van de apparaten die ons team beschikbaar had om te testen, ” zegt Kraken in zijn rapport over de aanval. “Als dit een echte aanval was geweest, hadden we toegang gehad tot een breed scala aan gevoelige informatie.”
Kraken is niet het enige beveiligingsbedrijf dat beseft dat lijm gebruikt kan worden om een vingerafdrukscanner voor de gek te houden. Cisco Talos publiceerde een meer diepgaand rapport in April 2020 dat verschillende manieren onderzocht-waaronder deze lijm Truc—iemands vingerafdruk kan worden vervalst door een aanvaller.
” onze tests toonden aan dat—gemiddeld-we een ~80 procent slagingspercentage bereikten tijdens het gebruik van de valse vingerafdrukken, waar de sensoren ten minste één keer werden omzeild,” zegt Cisco Talos. “Het bereiken van dit slagingspercentage was moeilijk en vervelend werk. We vonden verschillende obstakels en beperkingen met betrekking tot schalen en materiële fysische eigenschappen. Toch, dit niveau van slagingspercentage betekent dat we een zeer hoge kans op het ontgrendelen van een van de geteste apparaten voordat het valt terug in de pin ontgrendelen.”
Cisco Talos zegt dat de meeste mensen zich geen zorgen hoeven te maken dat iemand een kopie van hun vingerafdruk maakt om toegang te krijgen tot hun apparaten, maar merkt op dat “een persoon die waarschijnlijk het doelwit is van een goed gefinancierde en gemotiveerde actor, geen vingerafdrukverificatie moet gebruiken.”
Kraken adviseert mensen te onthouden dat het omzeilen van authenticatie op basis van vingerafdrukken relatief eenvoudig is en, op basis van de demonstratie ervan, goedkoper dan veel consumenten zouden verwachten. (Hoewel die veronderstelling is gebaseerd op iemand die al een laserprinter en Photoshop bezit.)
” het zou nu duidelijk moeten zijn dat, hoewel uw vingerafdruk uniek is voor u, het nog steeds met relatief gemak kan worden benut, ” zegt Kraken. “Op zijn best, je moet alleen overwegen om het te gebruiken als tweede-factor authenticatie (2FA).”