Hacking-ul amprentelor digitale este de fapt destul de ușor–și ieftin
oamenii din filme recurg adesea rapid la tăierea mâinii cuiva pentru a trece de un scaner de amprente. Un raport al echipei Kraken Security Labs arată că ar fi mult mai ușor—și mai puțin înspăimântător—să recreezi amprenta cuiva folosind un pic de lipici de lemn de pe raft.
Kraken observă că securitatea biometrică a devenit din ce în ce mai frecventă, deoarece producătorii de smartphone-uri, tablete și laptopuri au încorporat scanere de amprente în produsele lor. Aceste scanere oferă o modalitate convenabilă de a accesa aceste dispozitive fără a introduce o parolă.
raportul spune că un scaner de amprente poate fi „piratat” folosind o imagine a amprentei țintei, creând un negativ în Photoshop, imprimând imaginea rezultată și apoi punând niște lipici de lemn deasupra amprentei imitate, astfel încât să poată fi folosit pentru a păcăli multe scanere comerciale.
„am reușit să efectuăm acest atac binecunoscut asupra majorității dispozitivelor pe care echipa noastră le avea disponibile pentru testare”, spune Kraken în raportul său privind atacul. „Dacă ar fi fost un atac real, am fi avut acces la o gamă largă de informații sensibile.”
Kraken nu este singura companie de securitate care realizează că lipiciul poate fi folosit pentru a păcăli un scaner de amprente. Cisco Talos a publicat un raport mai aprofundat în aprilie 2020, care a explorat mai multe moduri—inclusiv acest truc de lipici—amprenta cuiva ar putea fi falsificată de un atacator.
„testele noastre au arătat că—în medie—am obținut o rată de succes de ~80% în timp ce folosim amprentele false, unde senzorii au fost ocoliți cel puțin o dată”, spune Cisco Talos. „Atingerea acestei rate de succes a fost o muncă dificilă și obositoare. Am găsit mai multe obstacole și limitări legate de scalarea și proprietățile fizice materiale. Chiar și așa, acest nivel de rată de succes înseamnă că avem o probabilitate foarte mare de a debloca oricare dintre dispozitivele testate înainte de a reveni la deblocarea pinului.”
Cisco Talos spune că majoritatea oamenilor nu trebuie să-și facă griji că cineva creează o copie a amprentei digitale pentru a-și accesa dispozitivele, dar observă că ” o persoană care este probabil să fie vizată de un actor bine finanțat și motivat nu ar trebui să utilizeze autentificarea amprentelor digitale.”
Kraken sfătuiește oamenii să-și amintească faptul că ocolirea autentificării bazate pe amprente digitale este relativ simplă și, pe baza demonstrației sale, mai ieftină decât s-ar putea aștepta mulți consumatori. (Deși această presupunere se bazează pe cineva care deține deja o imprimantă laser și Photoshop.)
„ar trebui să fie clar până acum că, deși amprenta dvs. este unică pentru dvs., ea poate fi exploatată cu relativă ușurință”, Spune Kraken. „În cel mai bun caz, ar trebui să luați în considerare utilizarea acestuia doar ca autentificare cu al doilea factor (2FA).”