Считается, что биометрическая аутентификация - это более безопасная альтернатива традиционным паролям. Аутентификация посредством отпечатков пальцев в настоящее время является наиболее распространенной формой биометрии и используется в смартфонах, ноутбуках и других устройствах, таких как «умные» замки и USB-накопители.
Однако проведенное экспертами Cisco Talos исследование показало, что в 80% случаев аутентификацию посредством отпечатков пальцев можно без труда обойти.
Для своих тестов исследователи брали отпечатки пальцев непосредственно у целевого пользователя устройства или с поверхностей, к которым притрагивалась потенциальная жертва. В общей сложности они потратили около $2000 на тестирование устройств Apple, Microsoft, Samsung, Huawei и др.
Эксперты обрабатывали полученные отпечатки фильтрами для повышения контрастности, использовали 3D-принтер для создания слепков, а затем формировали поддельный отпечаток, заполняя эту форму недорогим клеем. При работе с емкостными датчиками материалы также должны были включать графит и алюминиевую пудру для увеличения проводимости.
Аналитики проверили поддельные отпечатки пальцев на оптических, емкостных и ультразвуковых дактилоскопических сканерах, но не обнаружили каких-либо существенных различий с точки зрения безопасности. Зато в Cisco Talos отмечают, что достигли наилучших показателей, атакуя ультразвуковые сенсоры, которые являются новейшим и обычно встроены прямо в дисплей устройства.
Легче всего обмануть при помощи фальшивых отпечатков пальцев удалось замок AICase, а также смартфоны Huawei Honor 7x и Samsung Note 9 на базе Android. Для этих девайсов атаки были успешными в 100% случаев.
Почти столь же успешными были атаки на iPhone 8, MacBook Pro 2018 и Samsung S10, где показатель успеха составил более 90%.
Пять моделей ноутбуков под управлением Windows 10 (использующих фреймворк Windows Hello) и два USB-накопителя (Verbatim Fingerprint Secure и Lexar Jumpdrive F35) показали наилучшие результаты: обмануть их при помощи фальшивки не удалось.
Аналитики пишут, что, невзирая на тот факт, что обмануть биометрическую аутентификацию на Windows-машинах и USB-накопителях им не удалось, это еще не означает, что они так хорошо защищены. Просто для их взлома нужен другой подход. Вряд ли они устоят перед атакующим с хорошим бюджетом, большим количеством ресурсов и профессиональной командой.
Хотя Samsung A70 тоже продемонстрировал стойкость, исследователи объясняют, что его биометрическая аутентификация попросту работает крайне плохо и зачастую не распознает даже реальные отпечатки пальцев, которые были зарегистрированы в системе.
Основываясь на полученных результатах, специалисты делают вывод, что технология аутентификации по отпечаткам пальцев еще не достигла уровня, после которого ее можно будет считать надежной и безопасной.
Можно ли доверять биометрическим системам?