Verjame se, da je biometrična overitev varnejša alternativa tradicionalnim geslom. Preverjanje pristnosti prstnih odtisov je trenutno najpogostejša oblika biometrije in se uporablja v pametnih telefonih, prenosnikih in drugih napravah, kot so pametne ključavnice in pogoni USB.
Vendar pa je raziskava podjetja Cisco Talos ugotovila, da je 80% preverjanja pristnosti prstnih odtisov enostavno zaobiti.
Za svoje teste so raziskovalci odvzeli prstne odtise neposredno od ciljnega uporabnika naprave ali s površin, ki se jih je potencialna žrtev dotaknila. Hkrati strokovnjaki za to študijo določijo razmeroma nizek proračun, da bi ugotovili, kaj lahko doseže napadalec z omejenimi sredstvi. Tako so skupno porabili približno 2000 dolarjev za testiranje naprav Apple, Microsoft, Samsung, Huawei in tako naprej.
Strokovnjaki so nastale odtise obdelali s filtri za povečanje kontrasta, za ustvarjanje vtisov so uporabili 3D tiskalnik in nato oblikovali ponarejen tisk, ki je ta obrazec napolnil z poceni lepilom. Pri delu s kapacitivnimi senzorji so morali materiali vključevati tudi grafit in aluminij v prahu za povečanje prevodnosti.
Analitiki so testirali ponarejene prstne odtise na optičnih, kapacitivnih in ultrazvočnih skenerjih prstnih odtisov, vendar niso ugotovili pomembnih razlik v smislu varnosti. Toda Cisco Talos ugotavlja, da so dosegli najboljše rezultate z napadi na ultrazvočne senzorje, ki so najnovejši in običajno vgrajeni prav v zaslon naprave.
Rezultati testov.
Najlažji način goljufanja s ponarejenimi prstnimi odtisi je bila ključavnica AICase, pa tudi pametni telefoni Huawei Honor 7x in Samsung Note 9, ki temeljijo na Androidu. Za te naprave so bili napadi stoodstotno uspešni.
Promocijski video:
Napadi na iPhone 8, MacBook Pro 2018 in Samsung S10 so bili skoraj tako uspešni, stopnja uspešnosti je bila več kot 90%.
Pet modelov prenosnikov z operacijskim sistemom Windows 10 in dva pogona USB (Verbatim Fingerprint Secure in Lexar Jumpdrive F35) je pokazalo najboljše rezultate: niso jih mogli prevariti s ponaredkom.
Tako so raziskovalci v primeru mobilnih telefonov zaobšli pristnost prstnih odtisov na veliki večini naprav. Na prenosnih računalnikih nam je uspelo doseči 95-odstotni uspeh (pri MacBook Pro-ju je bilo to še posebej enostavno), vendar zaščite naprav Windows 10 na krovu s pomočjo okvirja Windows Hello sploh ni bilo mogoče zaobiti.
Analitiki pišejo, da kljub dejstvu, da jim biometrična avtentikacija na sistemih Windows in pogonih USB ni uspela zavajati, to še ne pomeni, da so tako dobro zaščiteni. Za razbijanje le teh je potreben drugačen pristop. Z dobrim proračunom, veliko sredstvi in strokovno ekipo se verjetno ne bodo uprli napadalcu.
Medtem ko je Samsung A70 tudi pokazal odpornost, raziskovalci pojasnjujejo, da njegova biometrična avtentikacija preprosto deluje izjemno slabo in pogosto ne prepozna resničnih prstnih odtisov, ki so bili registrirani v sistemu.
Na podlagi pridobljenih rezultatov strokovnjaki sklepajo, da tehnologija preverjanja pristnosti prstnih odtisov še ni dosegla ravni, po kateri bi se lahko štela za zanesljivo in varno. V bistvu raziskovalci pišejo, da je preverjanje pristnosti prstnih odtisov pametnih telefonov postalo šibkejše od leta 2013, ko je Apple predstavil TouchID za iPhone 5, nato pa je bil sistem vlomljen.
Avtor: Marija Nefedova