Fingerabdrucksperre des Telefons kann mit 3D-gedrucktem Fingerabdruck umgangen werden

Forscher der Cisco Talos Cybersecurity-Gruppe demonstrierten, wie sie die Fingerabdruckauthentifizierungssysteme auf Telefonen, Laptops und anderen Geräten mit gefälschten Fingerabdrücken, die mit 3D-Drucktechnologie und Textilkleber erstellt wurden, täuschen und umgehen konnten.

Laut den Forschern Paul Rascagneres und Vitor Ventura wurden die gedruckten gefälschten Fingerabdrücke an einer Vielzahl von Geräten getestet, und sie konnten im Durchschnitt eine Erfolgsquote von etwa 80 % erreichen.

Es gibt drei Haupttypen von Fingerabdrucksensoren: kapazitiv, optisch und ultrasonisch. Jeder dieser Sensoren funktioniert je nach Material und Sammlungsmethoden, die im Formprozess verwendet werden, etwas anders.

Der häufigste Typ ist kapazitiv, der den natürlichen elektrischen Strom des Körpers nutzt, um die Fingerabdrücke zu lesen, während optische Sensoren Licht verwenden, um einen Finger zu scannen und ein Bild zu erstellen. Ultrasonische Sensoren, die neueste Art und häufig für Bildschirm-Sensoren verwendet, nutzen Ultraschallwellen, die von einem physischen Objekt, in diesem Fall einem Finger, zurückgeworfen werden; das Echo wird vom Fingerabdrucksensor gelesen, was ultrasonische Sensoren am einfachsten zu umgehen macht.

„Unsere Tests zeigten, dass wir im Durchschnitt eine Erfolgsquote von ~80 Prozent erreichten, während wir die gefälschten Fingerabdrücke verwendeten, wobei die Sensoren mindestens einmal umgangen wurden. Diese Erfolgsquote zu erreichen, war mühsame und schwierige Arbeit. Wir fanden mehrere Hindernisse und Einschränkungen in Bezug auf die Skalierung und die physikalischen Eigenschaften der Materialien“, erklärten Vitor Ventura und Paul Rascagneres von Talos in ihrer Forschungsanalyse.

„Dennoch bedeutet dieses Erfolgsniveau, dass wir eine sehr hohe Wahrscheinlichkeit haben, eines der getesteten Geräte zu entsperren, bevor es wieder auf die PIN-Entsperrung zurückfällt. Die Ergebnisse zeigen, dass Fingerabdrücke gut genug sind, um die Privatsphäre des durchschnittlichen Menschen zu schützen, wenn er sein Telefon verliert. Eine Person, die wahrscheinlich von einem gut finanzierten und motivierten Akteur ins Visier genommen wird, sollte jedoch keine Fingerabdruckauthentifizierung verwenden.“

Die Forscher verwendeten einen 3D-Drucker, um Formen zu erstellen, und härteten diese in einer UV-Kammer aus. Sie verwendeten die Formen, um gefälschte Fingerabdrücke zu erstellen, und gossen sie dann auf Materialien, die Silikon und Stoffkleber enthielten.

„Während unserer Tests wurde deutlich, dass das verwendete Material ein entscheidender Faktor ist, abhängig von der Art des Sensors, insbesondere im Vergleich von akustischen mit kapazitiven Sensoren. Um unsere Erfolgsquote zu erhöhen, verwendeten wir Silikon und verschiedene Arten von Kleber, gemischt mit leitfähigem (Graphit und Aluminium) Pulver“, sagten sie.

Die Forscher hatten ein Budget von 2.000 USD sowie 13 Smartphones, Laptops und andere Geräte für den Testprozess. Um den Testprozess zu starten, verwendeten die Forscher die öffentlich verfügbaren Fingerabdrücke des berüchtigten Gangsters Al Capone als Beispiel. Mobile Geräte erwiesen sich als die besten Ziele, da die meisten Menschen häufig Fingerabdrucksensoren auf ihren Geräten verwenden.

„Diese Geräte waren auch die Ziele einiger der ersten Forschungen zur Fingerabdruckauthentifizierung, was dieser Plattform mehr Reife in der Technologie verleihen sollte. Die Ergebnisse zeigen jedoch, dass die Fingerabdruckauthentifizierung von Mobiltelefonen im Vergleich zu dem Zeitpunkt, als sie 2013 zum ersten Mal geknackt wurde, geschwächt wurde“, sagten sie.

Die gefälschten Fingerabdrücke wurden erfolgreich von den Forschern auf iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5. Gen, Samsung Note 9, Honor 7X und einem AICase Vorhängeschloss getestet. Sie konnten jedoch nicht auf das Samsung A70-Telefon, das Lexar Jumpdrive Fingerprint F35 oder den Verbatim Fingerprint Secure USB-verschlüsselten USB-Stick zugreifen.

Die Forscher kamen zu dem Schluss, dass die Fingerabdruckauthentifizierung für die Mehrheit der Bevölkerung angemessen ist, da der Prozess, ihn zu umgehen, sehr komplex, zeitaufwendig und teuer für eine alltägliche Person ist.

„Für einen regulären Benutzer der Fingerabdruckauthentifizierung sind die Vorteile offensichtlich, und sie sollte verwendet werden. Wenn der Benutzer jedoch eine höher profilierte Person ist oder sein Gerät sensible Informationen enthält, empfehlen wir, sich mehr auf starke Passwörter und tokenbasierte Zwei-Faktor-Authentifizierung zu verlassen“, schrieben sie.