Hackear Impressões Digitais é realmente muito fácil-e barato
as pessoas em filmes costumam recorrer rapidamente a serrar a mão de alguém para passar por um scanner de impressões digitais. Um relatório da equipe do Kraken Security Labs mostra que seria muito mais fácil—e menos horrível—recriar a impressão digital de alguém usando um pouco de cola de madeira pronta para uso.Kraken observa que a segurança biométrica tornou-se cada vez mais comum à medida que os fabricantes de smartphones, tablets e laptops incorporaram scanners de impressão digital em seus produtos. Esses scanners oferecem uma maneira conveniente de acessar esses dispositivos sem inserir uma senha.O relatório diz que um scanner de impressão digital pode ser “hackeado” usando uma imagem da impressão digital do alvo, criando um negativo no Photoshop, imprimindo a imagem resultante e, em seguida, colocando um pouco de cola de madeira em cima da impressão digital imitada para que possa ser usado para enganar muitos scanners comerciais.
“fomos capazes de realizar esse conhecido ataque à maioria dos dispositivos que nossa equipe tinha disponível para teste”, diz Kraken em seu relatório sobre o ataque. “Se isso fosse um ataque real, teríamos acesso a uma vasta gama de informações confidenciais.”A Kraken não é a única empresa de segurança a perceber que a cola pode ser usada para enganar um scanner de impressões digitais. Cisco Talos publicou um relatório mais aprofundado em abril de 2020 que explorou várias maneiras—incluindo esse truque de cola—a impressão digital de alguém pode ser falsificada por um invasor.”Nossos testes mostraram que—em média-alcançamos uma taxa de sucesso de ~80% ao usar as impressões digitais falsas, onde os sensores foram ignorados pelo menos uma vez”, diz Cisco Talos. “Atingir essa taxa de sucesso foi um trabalho difícil e tedioso. Encontramos vários obstáculos e limitações relacionados à escala e propriedades físicas do material. Mesmo assim, esse nível de taxa de sucesso significa que temos uma probabilidade muito alta de desbloquear qualquer um dos dispositivos testados antes que ele volte ao desbloqueio do pin.Cisco Talos diz que a maioria das pessoas não precisa se preocupar com alguém criando uma cópia de sua impressão digital para acessar seus dispositivos, mas observa que “uma pessoa que provavelmente será alvo de um ator bem financiado e motivado não deve usar a autenticação de impressão digital.”A Kraken aconselha as pessoas a se lembrarem de que ignorar a autenticação baseada em impressões digitais é relativamente simples e, com base em sua demonstração, mais barato do que muitos consumidores poderiam esperar. (Embora essa suposição seja baseada em alguém que já possui uma impressora a laser e Photoshop.)
“deve ficar claro agora que, embora sua impressão digital seja exclusiva para você, ela ainda pode ser explorada com relativa facilidade”, diz Kraken. “Na melhor das hipóteses, você só deve considerar usá-lo como autenticação de segundo fator (2FA).”