O Bloqueio por Impressão Digital do Telefone Pode Ser Contornado Usando Impressão 3D de Impressões Digitais

Pesquisadores do grupo de cibersegurança Cisco Talos demonstraram como conseguiram enganar e contornar os sistemas de autenticação por impressão digital em telefones, laptops e outros dispositivos usando impressões digitais falsas criadas com tecnologia de impressão 3D e cola têxtil.

De acordo com os pesquisadores, Paul Rascagneres e Vitor Ventura, as impressões digitais falsas impressas foram testadas em uma ampla gama de dispositivos e conseguiram alcançar uma taxa de sucesso de aproximadamente 80% em média.

Existem três tipos principais de sensores de impressão digital: capacitivos, ópticos e ultrassônicos. Cada um desses sensores opera de maneira ligeiramente diferente, dependendo do material e dos métodos de coleta usados no molde.

O tipo mais comum é o capacitivo, que usa a corrente elétrica natural do corpo para ler as impressões digitais, enquanto os sensores ópticos usam luz para escanear e criar uma imagem de um dedo. Sensores ultrassônicos, o tipo mais novo e frequentemente usados para sensores na tela, usam ondas ultrassônicas para refletir em um objeto físico, neste caso, um dedo; o eco é lido pelo sensor de impressão digital, o que torna o sensor ultrassônico o mais fácil de contornar.

“Nossos testes mostraram que — em média — conseguimos uma taxa de sucesso de ~80% ao usar as impressões digitais falsas, onde os sensores foram contornados pelo menos uma vez. Alcançar essa taxa de sucesso foi um trabalho difícil e tedioso. Encontramos vários obstáculos e limitações relacionadas à escalabilidade e às propriedades físicas dos materiais”, explicaram Vitor Ventura e Paul Rascagneres do Talos em sua análise de pesquisa.

“Mesmo assim, esse nível de taxa de sucesso significa que temos uma probabilidade muito alta de desbloquear qualquer um dos dispositivos testados antes que ele retorne ao desbloqueio por PIN. Os resultados mostram que as impressões digitais são boas o suficiente para proteger a privacidade da pessoa média se ela perder seu telefone. No entanto, uma pessoa que provavelmente será alvo de um ator bem financiado e motivado não deve usar autenticação por impressão digital.”

Os pesquisadores usaram uma impressora 3D para criar moldes e os curaram em uma câmara UV. Eles usaram os moldes para criar impressões digitais falsas e, em seguida, as moldaram em materiais que incluíam silicone e cola para tecido.

“Durante nossos testes, ficou claro que o material usado é um fator determinante dependendo do tipo de sensor, especialmente ao comparar sensores sonoros com capacitivos. Para aumentar nossa taxa de sucesso, usamos silicone e diferentes tipos de cola, misturados com pó condutor (grafite e alumínio)”, disseram.

Os pesquisadores tiveram um orçamento de $2.000, além de 13 smartphones, laptops e outros dispositivos para o processo de teste. Para iniciar o processo de teste, os pesquisadores usaram as impressões digitais publicamente disponíveis do infame gangster Al Capone como exemplo. Dispositivos móveis provaram ser os melhores alvos, já que a maioria das pessoas usa comumente sensores de impressão digital em seus dispositivos.

“Esses dispositivos também foram os alvos de algumas das primeiras pesquisas sobre autenticação por impressão digital, o que deve dar a essa plataforma mais maturidade na tecnologia. No entanto, os resultados mostram que a autenticação por impressão digital em telefones celulares enfraqueceu em comparação com quando foi quebrada pela primeira vez em 2013”, disseram.

As impressões digitais falsas foram testadas com sucesso pelos pesquisadores no iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5ª Geração, Samsung Note 9, Honor 7X e um AICase Padlock. No entanto, eles não conseguiram acessar o telefone Samsung A70, o Lexar Jumpdrive Fingerprint F35 ou o pen drive criptografado Verbatim Fingerprint Secure USB.

Os pesquisadores concluíram que a autenticação por impressão digital é adequada para a maioria da população, considerando que o processo para contorná-la é muito complexo, demorado e caro para uma pessoa comum realizar.

“Para um usuário regular de autenticação por impressão digital, as vantagens são óbvias, e deve ser usada. No entanto, se o usuário for de perfil mais alto ou se seu dispositivo contiver informações sensíveis, recomendamos confiar mais em senhas fortes e autenticação de dois fatores com token”, escreveram.