Hacking fingeravtryck är faktiskt ganska enkelt-och billigt
människor i filmer är ofta snabba att tillgripa sågning av någons hand för att komma förbi en fingeravtrycksskanner. En rapport från Kraken Security Labs—teamet visar att det skulle vara mycket lättare—och mindre grymt-att återskapa någons fingeravtryck med lite off-the-shelf trälim.
Kraken konstaterar att biometrisk säkerhet har blivit allt vanligare eftersom tillverkare av smartphones, surfplattor och bärbara datorer har införlivat fingeravtrycksskannrar i sina produkter. Dessa skannrar erbjuder ett bekvämt sätt att komma åt dessa enheter utan att ange ett lösenord.
rapporten säger att en fingeravtrycksskanner kan ”hackas” genom att använda en bild av målets fingeravtryck, skapa ett negativt i Photoshop, skriva ut den resulterande bilden och sedan lägga lite trälim ovanpå det imiterade fingeravtrycket så att det kan användas för att lura många kommersiella skannrar.
”vi kunde utföra denna välkända attack på de flesta enheter som vårt team hade tillgängligt för testning”, säger Kraken i sin rapport om attacken. ”Hade detta varit en riktig attack, skulle vi ha haft tillgång till ett stort utbud av känslig information.”
Kraken är inte det enda säkerhetsföretaget som inser att lim kan användas för att lura en fingeravtrycksskanner. Cisco Talos publicerade en mer djupgående rapport i April 2020 som undersökte flera sätt—inklusive detta limtrick—någons fingeravtryck kunde förfalskas av en angripare.
”våra tester visade att vi i genomsnitt uppnådde en ~ 80 procent framgångsgrad när vi använde de falska fingeravtrycken, där sensorerna förbikopplades minst en gång”, säger Cisco Talos. ”Att nå denna framgångsgrad var svårt och tråkigt arbete. Vi hittade flera hinder och begränsningar relaterade till skalning och materiella fysikaliska egenskaper. Ändå innebär denna nivå av framgångsgrad att vi har en mycket stor sannolikhet att låsa upp någon av de testade enheterna innan den faller tillbaka i stiftlåsningen.”
Cisco Talos säger att de flesta inte behöver oroa sig för att någon skapar en kopia av sitt fingeravtryck för att komma åt sina enheter, men noterar att ”en person som sannolikt kommer att riktas av en välfinansierad och motiverad skådespelare bör inte använda fingeravtrycksautentisering.”
Kraken råder människor att komma ihåg att kringgå fingeravtrycksbaserad autentisering är relativt enkel och, baserat på dess demonstration, billigare än många konsumenter kan förvänta sig. (Även om det antagandet är baserat på någon som redan äger en laserskrivare och Photoshop.)
”det borde vara klart nu att ditt fingeravtryck är unikt för dig, men det kan fortfarande utnyttjas relativt enkelt”, säger Kraken. ”I bästa fall bör du bara överväga att använda den som andra faktor autentisering (2FA).”