Техника использования 3D-принтера для обхода аутентификации по отпечаткам пальцев

9 апреля 2020 года

Исследователи из компании Cisco изучили возможность применения 3D-принтеров для создания макетов отпечатков пальцев, которые можно использовать для обмана биометрических систем аутентификации, применяемых на смартфонах, ноутбуках, USB-ключах и электронных замках различных производителей. Разработанные методы подделки тестировались на различных типах датчиков отпечатков пальца — ёмкостных, оптических и ультразвуковых.

Исследование показало, что применение макетов отпечатков пальцев, копирующих отпечаток жертвы, позволяет добиться разблокировки смартфонов в среднем в 80 % попыток. Для создания клона отпечатка можно обойтись без спецсредств, доступных только спецслужбам, используя типовой 3D-принтер. В итоге, аутентификация по отпечаткам пальцев признана достаточной для защиты смартфона в случае потери или кражи устройства, но неэффективной при проведении целевых атак, при которых злоумышленник может определить слепок отпечатка жертвы (например, получив стакан, на котором остались отпечатки).

Протестированы три техники оцифровки отпечатков жертвы:

• Создание пластилинового слепка. Например, когда жертва захвачена, находится без сознания или в состоянии опьянения.
• Анализ отпечатка, оставленного на стеклянном стакане или бутылке. Атакующий может проследить за жертвой и использовать предмет, к которому было касание (в том числе восстановив полный отпечаток по частям).
• Создание макета на основе данных от датчиков отпечатков пальцев. Например, данные могут быть получены при утечке баз охранных предприятий или таможни.

Анализ отпечатка на стекле производился через создание фотографии с высоким разрешением в RAW-формате, к которой применяются фильтры для повышения контраста и разворачивания скруглённых областей в плоскость. Метод на основе данных от датчика отпечатков оказался менее эффективным, так как предоставляемого датчиком разрешения было недостаточно и приходилось восполнять детали по нескольким снимкам. Эффективность метода на основе анализа отпечатка на стекле (синий на графике ниже) оказалась идентична или даже выше, чем при использовании прямого оттиска (оранжевый).

Наиболее стойкими оказались устройства Samsung A70, HP Pavilion x360 и Lenovo Yoga, которые полностью смогли противостоять атаке с использованием поддельного отпечатка. Менее стойкими стали Samsung note 9, Honor 7x, Aicase padlock, iPhone 8 и MacbookPro, которые удалось атаковать в 95 % попыток.

Для подготовки объёмной модели для печати на 3D-принтере использовался пакет ZBrush. Изображение отпечатка было использовано как чёрно-белая альфа-кисть, при помощи которой был вытянут объёмный отпечаток. Созданный макет использовался для создания формы, для печати которой достаточно обычного 3D-принтера с разрешением 25 или 50 микрон (0.025 и 0.05 мм). Наибольшие проблемы возникли с вычислением размера формы, которая точно должна совпадать с размером пальца. В ходе экспериментов было забраковано около 50 заготовок, пока не был найден способ вычисления нужного размера.

Далее, при помощи распечатанной формы заливался макет пальца, в котором использовался более пластичный материал, не подходящий для прямой 3D-печати. Исследователи провели эксперименты с большим числом различным материалов, из которых наиболее эффективными оказались силиконовый и текстильный клеи. Для повышения эффективности работы с ёмкостными датчиками в клей добавлялся токопроводящий графитовый или алюминиевый порошок.