HTCinside


Atakujący mogą ominąć uwierzytelnianie odcisków palców z ~80% wskaźnikiem sukcesu

Przed popularnością czujników linii papilarnych na urządzeniach mobilnych i tabletach, czujniki te były zarezerwowane dla najbardziej ekskluzywnych miejsc pracy i urządzeń elektronicznych. Firma Apple pojawiła się i zmieniła to wszystko dzięki rewolucyjnemu identyfikatorowi Touch ID. Jednak pierwsza iteracja Touch ID nie była w ogóle bezpieczna, a hakerzy byli w stanie przejść przez nią w ciągu 48 godzin od jej wydania za pomocą fałszywego odcisku palca. Od tego czasu wydania i czujniki zmieniły się, aby stać się bardziej bezpieczne, co było bardzo potrzebną godziną, jeśli producenci telefonów mieli używać ich jako punktu sprzedaży na swoich urządzeniach.

Jednak ostatnie badanie opublikowane przez grupę bezpieczeństwa Talos firmy Cisco zawiera ostrzeżenie dla użytkowników odcisków palców. Mówią, że ci ludzie, którzy mogą być celem hakerów sponsorowanych przez państwo, jak ostatnio obserwujemy wzrost liczby, lub ci, którzy mogą być celem innych wykwalifikowanych, dobrze finansowanych i zdeterminowanych grup atakujących, powinni być może nie używać czujników linii papilarnych dla bezpieczeństwa w ogóle. To oświadczenie pojawiło się po tym, jak grupa przetestowała uwierzytelnianie odcisków palców oferowane przez różnych producentów, takich jak Apple, Samsung, Huawei, Microsoft i trzech innych producentów zamków. W konsekwencji stwierdzono, że fałszywe odciski palców były w stanie przejść przez uwierzytelnianie „co najmniej raz w około 80 procentach czasu”.

Grupa zaczęła od stworzenia form odcisków palców, z których powstało około 50, zanim przeszła do testowania urządzeń. Każde z wybranych urządzeń otrzymało 20 prób z najlepszą stworzoną formą linii papilarnych. W raporcie opublikowano, że z tych 20 prób 17 zakończyło się sukcesem. Najbardziej podatnymi urządzeniami były kłódka AICase, Huawei Honor 7x i Samsung Note 9, przy czym badacze mieli stuprocentowy wskaźnik sukcesu. 90-procentowy wskaźnik sukcesu odnotowano dla urządzeń iPhone 8, MacBook Pro 2018 i Samsung S10.

Laptopy z systemem Windows 10 i dwoma dyskami USB wybranymi do tego testu, Verbatim Fingerprint Secure i Lexar Jumpdrive F35, wypadły najlepiej. Powodem tego, jak uważali badacze, było to, że algorytm porównania dla systemu Windows 10 znajdował się w samym systemie operacyjnym, co oznacza, że ​​wyniki są udostępniane innym platformom.

Badacze Talos, Paul Rascagneres i Vitor Ventura, stwierdzili, że „Wyniki pokazują, że odciski palców są wystarczająco dobre, aby chronić prywatność przeciętnego człowieka w przypadku utraty telefonu. Jednak osoba, która może być celem dobrze finansowanego i zmotywowanego aktora, nie powinna używać uwierzytelniania odcisków palców”.

Czytać -Hakerzy wykorzystują strach przed koronawirusem, aby nakłonić użytkowników do kliknięcia złośliwych wiadomości e-mail

Chociaż jest to badanie prowokujące do myślenia, samo badanie wyraźnie stwierdziło, że te testy wymagały kilku miesięcy pracy, które włożono w stworzenie form odcisków palców, zanim udało się stworzyć tę, która działała przeciwko urządzeniu. Tak więc ogólny obraz wskazuje na to, że przedsięwzięcie to jest niezwykle czasochłonne i kosztowne, nie wspominając o wątpliwym wskaźniku powodzenia w scenariuszu ataku w czasie rzeczywistym.