Hackování otisků prstů je ve skutečnosti docela snadné-a levné
lidé ve filmech se často rychle uchýlí k odříznutí něčí ruky, aby se dostali kolem skeneru otisků prstů. Zpráva týmu Kraken Security Labs ukazuje, že by bylo mnohem jednodušší—a méně příšerné—znovu vytvořit něčí otisk prstu pomocí trochu lepidla na dřevo.
Kraken poznamenává, že biometrické zabezpečení je stále běžnější, protože výrobci smartphonů, tabletů a notebooků začlenili do svých produktů skenery otisků prstů. Tyto skenery nabízejí pohodlný způsob přístupu k těmto zařízením bez zadání hesla.
zpráva říká, že snímač otisků prstů může být „hacknut“ pomocí obrázku otisků prstů cíle, vytvořením negativu ve Photoshopu, tiskem výsledného obrázku a poté vložením lepidla na dřevo na napodobený otisk prstu, takže může být použit k oklamání mnoha komerčních skenerů.
“ byli jsme schopni provést tento známý útok na většinu zařízení, která náš tým měl k dispozici pro testování,“ říká Kraken ve své zprávě o útoku. „Kdyby to byl skutečný útok, měli bychom přístup k široké škále citlivých informací.“
Kraken není jedinou bezpečnostní společností, která si uvědomuje, že lepidlo lze použít k oklamání skeneru otisků prstů. Společnost Cisco Talos zveřejnila v dubnu 2020 podrobnější zprávu, která prozkoumala několik způsobů—včetně tohoto triku s lepidlem-něčí otisk prstu by mohl útočník zfalšovat.
„naše testy ukázaly, že—v průměru—jsme dosáhli ~80% úspěšnosti při použití falešných otisků prstů, kde byly senzory alespoň jednou obcházeny,“ říká Cisco Talos. „Dosažení této úspěšnosti bylo obtížné a únavné. Našli jsme několik překážek a omezení souvisejících se škálováním a fyzikálními vlastnostmi materiálu. Přesto tato úroveň úspěšnosti znamená, že máme velmi vysokou pravděpodobnost odemknutí některého z testovaných zařízení dříve, než spadne zpět do odemykání pinů.“
Cisco Talos říká, že většina lidí se nemusí starat o to, aby někdo vytvořil kopii svého otisku prstu pro přístup ke svým zařízením, ale poznamenává, že „osoba, na kterou bude pravděpodobně zaměřen dobře financovaný a motivovaný herec, by neměla používat ověřování otisků prstů.“
Kraken doporučuje lidem, aby si pamatovali, že obcházení autentizace založené na otiscích prstů je relativně jednoduché a na základě jeho demonstrace levnější, než by mnozí spotřebitelé očekávali. (I když tento předpoklad je založen na tom, že někdo již vlastní laserovou tiskárnu a Photoshop.
„už by mělo být jasné, že zatímco váš otisk prstu je pro vás jedinečný, může být stále využíván relativně snadno,“ říká Kraken. „V nejlepším případě byste jej měli zvážit pouze jako ověření druhého faktoru (2FA).“