Блокировка отпечатком пальца телефона может быть обойдена с помощью 3D-печатного отпечатка

Исследователи из группы кибербезопасности Cisco Talos продемонстрировали, как им удалось обмануть и обойти системы аутентификации по отпечаткам пальцев на телефонах, ноутбуках и других устройствах, используя поддельные отпечатки пальцев, созданные с помощью технологии 3D-печати и текстильного клея.

Согласно исследователям, Полю Раскагнересу и Витору Вентуре, напечатанные поддельные отпечатки пальцев были протестированы на широком диапазоне устройств, и им удалось достичь примерно 80% уровня успеха в среднем.

Существует три основных типа датчиков отпечатков пальцев: емкостные, оптические и ультразвуковые. Каждый из этих датчиков работает немного по-разному в зависимости от материала и методов сбора, используемых в форме.

Наиболее распространенный тип — емкостный, который использует естественный электрический ток тела для считывания отпечатков пальцев, в то время как оптические датчики используют свет для сканирования и создания изображения пальца. Ультразвуковые датчики, самый новый тип и часто используемый для сенсоров на экране, используют ультразвуковые волны, которые отскакивают от физического объекта, в данном случае пальца; эхо считывается датчиком отпечатков пальцев, что делает ультразвуковой датчик самым простым для обхода.

«Наши тесты показали, что — в среднем — мы достигли ~80% уровня успеха, используя поддельные отпечатки пальцев, где датчики были обойдены как минимум один раз. Достичь этого уровня успеха было сложно и утомительно. Мы столкнулись с несколькими препятствиями и ограничениями, связанными с масштабированием и физическими свойствами материалов», — объяснили Витор Вентура и Пол Раскагнерес из Talos в своем исследовательском анализе.

«Тем не менее, этот уровень успеха означает, что у нас есть очень высокая вероятность разблокировки любого из протестированных устройств, прежде чем оно вернется к разблокировке с помощью PIN-кода. Результаты показывают, что отпечатки пальцев достаточно хороши для защиты конфиденциальности среднего человека, если он потеряет свой телефон. Однако человек, который, вероятно, станет целью хорошо финансируемого и мотивированного злоумышленника, не должен использовать аутентификацию по отпечаткам пальцев.»

Исследователи использовали 3D-принтер для создания форм и отверждали их в УФ-камере. Они использовали формы для создания поддельных отпечатков пальцев, а затем отливали их на материалы, включая силикон и тканевый клей.

«Во время наших тестов стало очевидно, что используемый материал является определяющим фактором в зависимости от типа датчика, особенно при сравнении звуковых и емкостных датчиков. Чтобы увеличить наш уровень успеха, мы использовали силикон и различные виды клея, смешанные с проводящим (графитовым и алюминиевым) порошком», — сказали они.

У исследователей был бюджет в $2000, а также 13 смартфонов, ноутбуков и других устройств для процесса тестирования. Чтобы начать процесс тестирования, исследователи использовали общедоступные отпечатки пальцев известного гангстера Аль Капоне в качестве примера. Мобильные устройства оказались лучшими целями, так как большинство людей обычно используют датчики отпечатков пальцев на своих устройствах.

«Эти устройства также были целями некоторых первых исследований в области аутентификации по отпечаткам пальцев, что должно придать этой платформе большую зрелость в технологии. Однако результаты показывают, что аутентификация по отпечаткам пальцев на мобильных телефонах ослабла по сравнению с тем, когда она была впервые сломана в 2013 году», — сказали они.

Поддельные отпечатки пальцев были успешно протестированы исследователями на iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5-го поколения, Samsung Note 9, Honor 7X и AICase Padlock. Однако им не удалось получить доступ к телефону Samsung A70, USB-накопителю Lexar Jumpdrive Fingerprint F35 или USB-накопителю Verbatim Fingerprint Secure с шифрованием.

Исследователи пришли к выводу, что аутентификация по отпечаткам пальцев является адекватной для большинства населения, учитывая, что процесс ее обхода очень сложен, трудоемок и дорог для обычного человека.

«Для обычного пользователя аутентификации по отпечаткам пальцев преимущества очевидны, и ее следует использовать. Однако, если пользователь является более высокопрофильным или его устройство содержит конфиденциальную информацию, мы рекомендуем полагаться больше на надежные пароли и двухфакторную аутентификацию с токенами», — написали они.