Biometrisk godkendelse menes at være et mere sikkert alternativ til traditionelle adgangskoder. Fingeraftryksgodkendelse er i øjeblikket den mest almindelige form for biometri og bruges i smartphones, laptops og andre enheder, såsom smartlåse og USB-drev.
En undersøgelse fra Cisco Talos fandt imidlertid, at 80% af fingeraftryksgodkendelse let kan omgås.
For deres test tog forskerne fingeraftryk direkte fra den målrette bruger af enheden eller fra overflader, som et potentielt offer havde rørt. På samme tid satte eksperter et relativt lavt budget til denne undersøgelse for at bestemme, hvad en angriberen med begrænsede ressourcer kan opnå. Så i alt brugte de omkring $ 2.000 på testenheder fra Apple, Microsoft, Samsung, Huawei og så videre.
Eksperterne behandlede de resulterende udskrifter med filtre for at øge kontrasten, brugte en 3D-printer til at skabe indtryk og dannede derefter en falsk udskrivning, hvor denne form blev udfyldt med billig lim. Når man arbejdede med kapacitive sensorer, måtte materialerne også omfatte grafit og aluminiumspulver for at øge ledningsevnen.
Analytikere testede falske fingeraftryk på optiske, kapacitive og ultrasoniske fingeraftryksscannere, men fandt ingen signifikante forskelle med hensyn til sikkerhed. Men Cisco Talos bemærker, at de opnåede den bedste ydelse ved at angribe ultralydssensorer, som er de nyeste og normalt indbygget lige i enhedsdisplayet.
Test resultater.
Den nemmeste måde at snyde med falske fingeraftryk var AICase-låsen samt Huawei Honor 7x og Samsung Note 9 smartphones baseret på Android. For disse enheder var angreb 100% succesrige.
Salgsfremmende video:
Angreb på iPhone 8, MacBook Pro 2018 og Samsung S10 var næsten lige så succesrige med en succesrate på over 90%.
Fem bærbare modeller, der kører Windows 10 og to USB-drev (Verbatim Fingerprint Secure og Lexar Jumpdrive F35), viste de bedste resultater: De kunne ikke narre med en forfalskning.
I tilfælde af mobiltelefoner omgås forskere fingeraftryksgodkendelse på langt de fleste enheder. På bærbare computere lykkedes det os at opnå 95% succes (det var især let med MacBook Pro), men det var overhovedet ikke muligt at omgå beskyttelsen af enheder med Windows 10 ombord ved hjælp af Windows Hello-rammen.
Analytikere skriver, at trods det faktum, at de ikke mislykkede biometrisk godkendelse på Windows-maskiner og USB-drev, betyder det ikke, at de er så godt beskyttet. Det kræver bare en anden tilgang at knække dem. Det er usandsynligt, at de vil modstå en angriber med et godt budget, masser af ressourcer og et professionelt team.
Mens Samsung A70 også har vist modstandsdygtighed, forklarer forskerne, at dens biometriske autentificering simpelthen fungerer ekstremt dårligt og ofte ikke engang genkender reelle fingeraftryk, der er registreret med systemet.
Baseret på de opnåede resultater konkluderer eksperter, at teknologien til fingeraftryksgodkendelse endnu ikke har nået det niveau, hvorefter det kan betragtes som pålideligt og sikkert. Faktisk skriver forskerne, at smartphone-fingeraftryksgodkendelse er blevet svagere siden 2013, da Apple introducerede TouchID til iPhone 5, og derefter blev systemet hacket.
Forfatter: Maria Nefedova