Клоны-отпечатки пальцев разблокируют ваш смартфон в 80% случаев

9 апреля 2020 года

Исследователи из компании Cisco изучили возможность применения 3D-принтеров для создания макетов отпечатков пальцев, которые можно использовать для обмана биометрических систем аутентификации, применяемых на смартфонах, ноутбуках, USB-ключах и электронных замках различных производителей. Разработанные методы подделки тестировались на различных типах датчиков отпечатков пальца — ёмкостных, оптических и ультразвуковых.

Исследование показало, что применение макетов отпечатков пальцев, копирующих отпечаток жертвы, позволяет добиться разблокировки смартфонов в среднем в 80% попыток. Для создания клона отпечатка можно обойтись без спецсредств, доступных только спецслужбам, используя типовой 3D-принтер. В итоге, аутентификация по отпечаткам пальцам признана достаточной для защиты смартфона в случае потери или кражи устройства, но неэффективной при проведении целевых атак, при которых злоумышленник может определить слепок отпечатка жертвы (например, получив стакан, на котором остались отпечатки).

Протестированы три техники оцифровки отпечатков жертвы:

Создание пластилинового слепка. Например, когда жертва захвачена, находится в без сознания или в состоянии опьянения;

Анализ отпечатка, оставленного на стеклянном стакане или бутылке. Атакующий может проследить за жертвой и использовать предмет, к которому было касание (в том числе восстановив полный отпечаток по частям);

Создание макета на основе данных от датчиков отпечатков пальцев. Например, данные могут быть получены при утечке баз охранных предприятий или таможни.

В ходе исследования специалисты сняли отпечатки пальцев жертвы с поверхности, к которой она прикасалась, с помощью 3D-принтера напечатали форму для отливки, а для этого использовали более пластичные материалы. Они провели эксперименты с большим числом различным материалов, из которых наиболее эффективными оказались силиконовый и текстильный клеи. Для повышения эффективности работы с ёмкостными датчиками в клей добавлялся токопроводящий графитовый или алюминиевый порошок.

Специалисты прикладывали отлитые отпечатки к различным датчикам отпечатков пальцев, в том числе к оптическим, емкостным и ультразвуковым, с целью выявить самые надежные из них. Как оказалось, особой разницы между этими датчиками с точки зрения безопасности нет. Однако больше исследователям удалось взломать гаджетов с ультразвуковыми датчиками. Они представляют собой новейший тип датчиков и как правило встраиваются в дисплей устройства.

С помощью слепка исследователи смогли разблокировать практически все взятые для эксперимента смартфоны. Что касается ноутбуков, то им удалось разблокировать MacBook Pro в 95% случаев и ни разу не удалось разблокировать устройства под управлением Windows 10, где используется фреймворк Windows Hello. Не удалось также «обмануть» датчики USB флэш-накопителей производства Verbatim и Lexar, но смарт-замки поддались легко. Однако, по словам исследователей, это вовсе не значит, что Windows-устройства или «флэшки» Verbatim и Lexar более надежные, просто для обхода их датчиков отпечатков пальцев требуется другой подход....