Для начала поговорим о том, как работают сканеры отпечатков пальцев. Основная идея проста: когда вы прикладываете палец к сканеру, чтобы разблокировать смартфон, ноутбук или умный замок, сенсор тем или иным способом получает изображение вашего папиллярного рисунка. Существует несколько типов сканеров, и каждый из них распознает отпечаток по-своему.
Аутентификация по отпечатку пальца – удобная альтернатива паролям и PIN-кодам. Кому захочется тратить время на ввод длинной строки цифр, букв и символов, когда будет достаточно простого нажатия?
К сожалению, за это удобство приходится платить. Потому что, в отличие от обычного пароля, вы оставляете отпечаток пальца на дверях такси, экранах iPhone и бокалах вина в местном ресторане. В этой статье Вы узнаете, насколько легко злоумышленникам можно обойти ваш любимый метод входа в систему.
Фотография отпечатка пальца жертвы на экране компьютера.
Имея это фото в нашем распоряжении, час работы в фотошопе дает приличный негатив:
Негатив отпечатка пальца с предыдущего фото.
Затем мы напечатаем изображение на ацетатном листе с помощью лазерного принтера – тонер создает трехмерную структуру отпечатка пальца на листе.
Ацетатный лист с нашим свежим принтом.
На последнем этапе мы добавляем немного столярного клея поверх отпечатка, чтобы оживить поддельный отпечаток пальца, который мы можем использовать на сканере.
Создание синтетического отпечатка пальца.
Наш отпечаток пальца работает на MacBook Pro.
Мы смогли провести эту хорошо известную атаку на большинстве устройств, которые наша команда имела для тестирования. Если бы это была настоящая атака, у нас был бы доступ к широкому спектру конфиденциальной информации.
К настоящему времени должно быть ясно, что, хотя ваш отпечаток пальца уникален для вас, его можно относительно легко использовать. В лучшем случае вам следует рассмотреть возможность использования его только в качестве вторичной аутентификации (2FA).
- Емкостные сканеры — самый распространенный тип. Емкостный сканер получает изображение при помощи небольшого электрического заряда. Для этого в него встроены миниатюрные конденсаторы — устройства, способные накапливать электричество. Когда палец касается сканера, он эти конденсаторы разряжает. В тех местах, где палец вплотную подходит к датчику (гребни отпечатка) — больше, а там, где между кожей и датчиком остается зазор (впадины отпечатка) — меньше. Сканер измеряет эту разницу и определяет по ней рисунок отпечатка.
- Оптические сканеры фактически фотографируют отпечаток пальца. Устройство светит на палец через призму, свет по-разному отражается от гребней и впадин, а датчик считывает его и получает нужную картинку.
- Ультразвуковые сканеры вместо света посылают ультразвуковой сигнал и записывают эхо, которое от гребней и впадин тоже образуется разное. Такому сканеру не обязательно соприкасаться с пальцем, поэтому его можно прятать под экран смартфона. Кроме того, он «слышит» не только ту часть пальца, которая прилегает к поверхности, но и удаленные от датчика края подушечки, так что картинка выходит объемная. Это помогает распознать обман с помощью плоских копий отпечатка.
Аутентификация по отпечатку пальца – удобная альтернатива паролям и PIN-кодам. Кому захочется тратить время на ввод длинной строки цифр, букв и символов, когда будет достаточно простого нажатия?
К сожалению, за это удобство приходится платить. Потому что, в отличие от обычного пароля, вы оставляете отпечаток пальца на дверях такси, экранах iPhone и бокалах вина в местном ресторане. В этой статье Вы узнаете, насколько легко злоумышленникам можно обойти ваш любимый метод входа в систему.
Кража отпечатка пальца
Чтобы скомпрометировать ваше устройство или учетную запись, нам даже не нужен прямой доступ к вашему отпечатку пальца. Подойдет фотография поверхности, которой вы прикоснулись (от стола в местной библиотеке до оборудования в ближайшем тренажерном зале).Фотография отпечатка пальца жертвы на экране компьютера.
Имея это фото в нашем распоряжении, час работы в фотошопе дает приличный негатив:
Негатив отпечатка пальца с предыдущего фото.
Затем мы напечатаем изображение на ацетатном листе с помощью лазерного принтера – тонер создает трехмерную структуру отпечатка пальца на листе.
Ацетатный лист с нашим свежим принтом.
На последнем этапе мы добавляем немного столярного клея поверх отпечатка, чтобы оживить поддельный отпечаток пальца, который мы можем использовать на сканере.
Создание синтетического отпечатка пальца.
Начало атаки
С отпечатком пальца в руке все, что нам нужно сделать, это приложить его к сканеру.Наш отпечаток пальца работает на MacBook Pro.
Мы смогли провести эту хорошо известную атаку на большинстве устройств, которые наша команда имела для тестирования. Если бы это была настоящая атака, у нас был бы доступ к широкому спектру конфиденциальной информации.
Защита от нападения
Отпечаток пальца не следует рассматривать как безопасную альтернативу надежному паролю. В результате ваша информация – и, возможно, ваши криптоактивы – уязвимы даже для самых неискушенных злоумышленников.К настоящему времени должно быть ясно, что, хотя ваш отпечаток пальца уникален для вас, его можно относительно легко использовать. В лучшем случае вам следует рассмотреть возможность использования его только в качестве вторичной аутентификации (2FA).