Czytniki linii papilarnych nie do końca bezpieczne

Czytniki linii papilarnych nie do końca bezpieczne

Opublikowano 9.04.2020 10:18 -


Chociaż mogłoby się wydawać, że zabezpieczanie danych za pomocą naszych linii papilarnych jest bardzo rozważne (w końcu są one niepowtarzalne), to eksperyment Cisco Talos wykazał, że w przypadku wyjątkowej determinacji złodziei skuteczność oszustw jest zaskakująco duża.

Jeszcze dekadę temu wydawało się, że wykorzystywanie linii papilarnych do zabezpieczeń jest zarezerwowane dla tajnych organizacji czy filmów sci-fi. Raptem w 2013 roku Apple prezentuje pierwszą generację Touch ID i w ciągu zaledwie siedmiu lat jesteśmy świadkami wprowadzania podobnych rozwiązań w ekrany, w klawisze laptopów, a najprawdopodobniej niedługo i w zegarki. Wykorzystywanie linii papilarnych jest aktualnie wszechobecne i pozwala nam znacznie skracać dostawanie się do smartfonów, jednym ruchem uwierzytelniać logowanie czy płatności. Podejrzewam, że rzadko zastanawiamy się nad tym, czy to bezpieczne – w końcu każdy z nas wie, że nasze odciski są niepowtarzalne, jedyne, więc i takie zabezpieczenie powinno być „niełamalne”.

Diabeł tkwi w szczegółach

Raport Cisco Talos na arstechnica.com wskazuje jednak, że skuteczność łamania zabezpieczeń za pomocą sztucznych odcisków jest piekielnie wysoka i przekracza 80% w przypadku większości urządzeń. Nie uprzedzając jednak do końca faktów, poukładajmy to po kolei. Specjaliści od ochrony zabrali się za sprawdzenie trzynastu różnych urządzeń (smartfony, tablety, laptopy, dyski twarde i kłódka). Do oszukiwania skanerów wykorzystali trzy metody pozyskania odcisków „ofiary” – jedną było bezpośrednie odciśnięcie palca w plastelinie, drugą wykorzystanie fałszywego skanera i pobranie obrazu linii papilarnych, a trzecią zdjęcie palca odbitego na szklance lub innym przezroczystym materiale. Tak uzyskane odciski drukowane były na drukarce 3D z ogromną dokładnością – zmiana rozmiaru o 1% uniemożliwiała odblokowanie.

Przygotowane modele palców trafiały na skanery i… w większości przypadków działały. Najgorzej spisała się kłódka AiCase oraz dwa smartfony – Honor 7X i Samsung Note 9 – ich zabezpieczenia zostały pokonane we wszystkich próbach. Niewiele lepiej było w MacBooku Pro 2018, iPhone 8 i Samsungu S10, gdzie odblokowaniem kończyło się ponad 90% prób czy Huawei P30 Lite (85%). Na drugim końcu znajdziemy laptopy z zainstalowanym Windowsem 10 oraz dwa dyski – Verbatim Fingerprint Secure i Lexar Jumbdrive F35. Badacze wskazali, że znaczenie miały tutaj algorytmy zastosowane w Windowsie.

W ramach ciekawostki i lekkiego żartu dodam, że zerową skuteczność osiągnięto też w przypadku Samsunga A70, ale w tym wypadku chodziło o niedoskonałość skanera, który często nie radzi sobie nawet z prawdziwym palcem.

Możemy spać spokojnie

Na szczęście im dalej w las, tym więcej pozytywów przekazanych Ars Technica ze strony Cisco Talos. Po pierwsze firma przyznała, że do działania zazwyczaj potrzebne było około 50 wydruków tego samego odcisku, co przekładało się na miesiące pracy. Po drugie ciężko sobie wyobrazić, by tego typu włamanie miało miejsce na szarym obywatelu – złodzieje musieliby w bardzo drobnych szczegółach zaplanować pozyskanie dokładnego obrazu palca oraz wejść w posiadanie urządzenia, które zabezpieczyliśmy naszymi liniami papilarnymi. Po trzecie, chociaż budżet wydany na badanie był niewielki (2000 USD), to jednak trzeba pamiętać, że wymagał całego zespołu i skomplikowanych urządzeń takich jak drukarka 3D drukująca w technologii 25 mikronów.

Łatwo sobie wyobrazić kto mógłby paść ofiarą takiej kradzieży – pierwszy lepszy film o nowoczesnych bandytach pokaże nam, że najlepiej celować w wysoko postawionych polityków. Wystarczy wtedy pobrać odcisk ich palca, niezauważenie ukraść smartfona czy dysk zabezpieczony liniami papilarnymi, wydrukować odpowiedni model i voila – proste, prawda?

Wieści z Rozładowani.pl