Отчет команды Kraken Security Labs показывает, что было бы намного проще – и менее ужасно – воссоздать чей-то отпечаток пальца, используя немного готового клея для дерева.
Об этом сообщает портал PCMag.
Kraken Security Labs отмечает, что биометрическая безопасность становится все более распространенной, поскольку производители смартфонов, планшетов и ноутбуков встраивают в свои продукты сканеры отпечатков пальцев. Эти сканеры предлагают удобный способ доступа к этим устройствам без ввода пароля.
В отчете говорится, что сканер отпечатков пальцев можно «взломать», используя изображение отпечатка пальца цели, создав негатив в Photoshop, распечатав полученное изображение, а затем нанеся немного столярного клея поверх имитированного отпечатка пальца, чтобы его можно было использовать для обмана.
"Мы смогли провести эту хорошо известную атаку на большинстве устройств, которые наша команда имела для тестирования. Если бы это была настоящая атака, у нас был бы доступ к огромному количеству конфиденциальной информации", – говорится в отчете Kraken об атаке.
Kraken – не единственная охранная компания, которая осознала, что клей можно использовать, чтобы обмануть сканер отпечатков пальцев. Cisco Talos опубликовала более подробный отчет в апреле 2020 года, в котором исследовалось несколько способов, включая этот клеевой трюк, взломщик может подделать чей-то отпечаток пальца.
"Наши тесты показали, что в среднем мы достигли порядка 80% успеха при использовании поддельных отпечатков пальцев, когда датчики обходили по крайней мере один раз. Достижение такого успеха было трудной и утомительной работой. Мы обнаружили несколько препятствий и ограничений, связанных с масштабированием и физическими свойствами материалов. Даже в этом случае такой уровень успеха означает, что у нас очень высока вероятность разблокировки любого из протестированных устройств до этого", – говорит Cisco Talos.
Cisco Talos говорит, что большинству людей не нужно беспокоиться о том, что кто-то создаст копию их отпечатка пальца для доступа к их устройствам, но отмечает, что "человек, который может стать целью хорошо финансируемого и мотивированного субъекта, не должен использовать аутентификацию по отпечатку пальца".
Kraken советует людям помнить, что обход аутентификации на основе отпечатков пальцев относительно прост и, судя по демонстрации, дешевле, чем могли ожидать многие потребители.
"К настоящему времени должно быть ясно, что, хотя ваш отпечаток пальца уникален для вас, его можно относительно легко использовать. В лучшем случае вам следует рассмотреть возможность использования его только в качестве вторичной аутентификации (2FA)", – говорит Кракен.