Можно ли обмануть аутентификацию по отпечаткам пальцев на смартфонах с помощью 3D-печати?

Исследователи стремились уложить постоянную дискуссию: можно ли обмануть биометрическую аутентификацию на основе отпечатков пальцев.

В среду исследователи Cisco Talos Пол Расканьрес и Витор Вентура опубликовали результаты углубленного исследования того, как можно дублировать датчики, используемые в биометрических системах с отпечатками пальцев, в результате чего смартфоны и планшеты предоставляют доступ всем, кто не является их владельцем. По мере того, как мы переходим от традиционных паролей к биометрическим, включая отпечатки пальцев, распознавание лиц и сканирование сетчатки, исследование стремилось понять, каким образом эти системы аутентификации могут быть скомпрометированы.

Наши отпечатки пальцев уникальны и теперь используются для блокировки всего, от ПК до смартфонов. Хотя ранние формы аутентификации по отпечатку пальца были быстро обойдены после дебюта Apple TouchID в iPhone 5 семь лет назад, технология теперь не только расширилась и теперь включает в себя широкий спектр устройств, но и стала более продвинутой.

Однако, Cisco Talos обнаружил, что возможно обойти три основных типа датчиков, которые теперь используются в аутентификации по отпечаткам пальцев.

Три вида являются оптическими, емкостными и ультразвуковыми. Оптические датчики используют свет для сканирования и формирования изображения пальца, тогда как емкостные датчики делают то же самое, но с электрическим током. Ультразвуковые датчики используют ультразвуковые волны, чтобы отражаться от физического объекта, в данном случае от пальца, для создания более подробной - и, следовательно, потенциально более безопасной - трехмерной карты.

Исследователи говорят, что в среднем они достигли примерно 80% успеха при доступе к тестовым устройствам при использовании поддельных отпечатков пальцев, с каждой формой сенсора обходят хотя бы один раз.

Однако это не означает, что обойти современные стандарты биометрической аутентификации - это простая задача. На самом деле команда назвала это «трудной и утомительной работой» с рядом ограничений.

Были протестированы различные модели смартфонов, ноутбуков, USB-накопителей и умных замков, каждый из которых был запечатан через отпечатки пальцев ряда участников.

В реальных сценариях исследователи говорят, что отпечатки пальцев могут быть собраны, когда человек выведен из строя, путем кражи биометрических данных, хранящихся в организациях, таких как таможенные отделы, или с помощью физических объектов, таких как очки.

Отпечатки пальцев собирались и затем копировались с помощью 3D-печатных форм, из которых более 50 должны были быть созданы и отлиты из различных материалов, включая силикон и текстильный клей - последний из которых работал лучше всего, когда отпечатки пальцев должны были быть проводящими.

С помощью 3D-принтеров, программного обеспечения для проектирования и графитового порошка для улучшения детализации отпечатков пальцев, команда провела тестирование смартфонов, в которых, как оказалось, не было реального преимущества между использованием датчиков различных форм.

Устройства производства Samsung, Apple и Huawei были протестированы и стали жертвами атак. По словам исследователей, вместо того, чтобы улучшать, аутентификация по отпечаткам пальцев мобильного телефона "ослабла по сравнению с тем, когда она была впервые сломана в 2013 году"

Однако, когда дело доходит до ноутбуков, Microsoft Windows выиграла у многих других платформ. Попытки сломать в общей сложности пять моделей, работающих под управлением Windows 10 и платформы Windows Hello, не увенчались успехом, в то время как 95% разблокированного успеха при использовании одинаковых отпечатков имели место на Apple MacBook Pro.

Два Verbatim и Lexar USB были протестированы; ни один из которых не был уязвим для используемых методов. Интеллектуальная блокировка Aicase, которая не включала лимит попыток, была сломана.

В отчете делается вывод о том, что, хотя датчики можно обмануть, время и ручные испытания показали, что не существует метода «один размер подходит всем» для обхода всех систем аутентификации по отпечаткам пальцев. Однако все еще можно обойти блокировки на смартфонах, ноутбуках и замках.

«Для обычного пользователя, Аутентификация по отпечатку пальца имеет очевидные преимущества и предлагает очень интуитивный уровень безопасности. - Однако, если пользователь является потенциальной целью для финансируемых злоумышленников или их устройство содержит конфиденциальную информацию, мы рекомендуем больше полагаться на надежные пароли и двухфакторный токен  аутентификации."