Hacking odciski palców jest rzeczywiście dość łatwe-i tanie
ludzie w filmach są często szybko uciekać się do cięcia off czyjejś ręki, aby ominąć Skaner Linii Papilarnych. Raport zespołu Kraken Security Labs pokazuje, że o wiele łatwiej—i mniej makabrycznie-byłoby odtworzyć czyjś odcisk palca przy użyciu odrobiny gotowego kleju do drewna.
Kraken zauważa, że bezpieczeństwo biometryczne staje się coraz bardziej powszechne, ponieważ producenci smartfonów, tabletów i laptopów wprowadzili do swoich produktów skanery linii papilarnych. Skanery te oferują wygodny sposób uzyskiwania dostępu do tych urządzeń bez wprowadzania hasła.
Raport mówi, że skaner linii papilarnych można „zhakować” za pomocą obrazu odcisku palca celu, tworząc negatyw w Photoshopie, drukowanie wynikowego obrazu, a następnie umieszczanie kleju do drewna na naśladowanym odcisku palca, dzięki czemu można go wykorzystać do oszukania wielu komercyjnych skanerów.
„byliśmy w stanie wykonać ten dobrze znany atak na większość urządzeń, które nasz zespół miał do przetestowania”, mówi Kraken w swoim raporcie na temat ataku. „Gdyby był to prawdziwy atak, mielibyśmy dostęp do szerokiej gamy poufnych informacji.”
Kraken nie jest jedyną firmą ochroniarską, która zdaje sobie sprawę, że klej może być użyty do oszukania skanera linii papilarnych. Cisco Talos opublikował bardziej dogłębny raport w kwietniu 2020 r., w którym zbadano kilka sposobów—w tym tę sztuczkę z klejem—że czyjś odcisk palca może zostać sfałszowany przez napastnika.
„Nasze testy wykazały, że—średnio—osiągnęliśmy około 80 procent skuteczności podczas korzystania z fałszywych odcisków palców, gdzie czujniki zostały pominięte co najmniej raz”, mówi Cisco Talos. „Osiągnięcie tego wskaźnika sukcesu było trudną i żmudną pracą. Znaleźliśmy kilka przeszkód i ograniczeń związanych ze skalowaniem i właściwościami fizycznymi materiału. Mimo to, ten poziom wskaźnika sukcesu oznacza, że mamy bardzo duże prawdopodobieństwo odblokowania któregokolwiek z testowanych urządzeń, zanim powróci do odblokowania pin.”
Cisco Talos mówi, że większość ludzi nie musi się martwić, że ktoś stworzy kopię ich odcisku palca, aby uzyskać dostęp do ich urządzeń, ale zauważa, że „osoba, która może być celem dobrze finansowanego i zmotywowanego aktora, nie powinna używać uwierzytelniania linii papilarnych.”
Kraken radzi ludziom, aby pamiętali, że pomijanie uwierzytelniania opartego na odciskach palców jest stosunkowo proste i, na podstawie jego demonstracji, tańsze niż wielu konsumentów mogłoby się spodziewać. (Chociaż to założenie opiera się na kimś, kto już posiada drukarkę laserową i Photoshopa.)
„do tej pory powinno być jasne, że chociaż Twój odcisk palca jest dla Ciebie wyjątkowy, nadal można go wykorzystać ze względną łatwością” – mówi Kraken. „W najlepszym przypadku powinieneś rozważyć użycie go tylko jako uwierzytelniania dwuskładnikowego (2FA).”