Tutkijat käyttävät 3D-tulostimia huijatakseen puhelimesi sormenjälkitunnistimen
Sormenjälkitunnistimet ovat kätevä tapa käyttää puhelimia ja laitteita, mutta ne eivät ole turvallisia. Jos haluat turvallisuutta, sinun tulee käyttää pitkää PIN-koodia tai vielä parempaa salasanaa (jos mahdollista). Cisco Talosin tutkijat korostivat sitä, kun he murtautuivat useisiin laitteisiin käyttämällä 2 000 dollarin Resin 3D -tulostinta, ohjelmistoa ja liimaa.
Nyt tutkimuksen tarkoitus ei ole väittää, että naapuri voisi helposti päästä laitteeseesi valmiilla 3D-tulostimella ja sormenjälkijauheella. Ei, Talosin tutkijat myöntävät täysin, että heidän tekemänsä työ on työlästä ja vaatisi noin 2 000 dollarin budjetin.
Mutta vaikka tämä ei olekaan "sinun keskimääräistä Joe" -rahaa ja Googlen tietämystä, se on hyvin monien lainvalvontaviranomaisten ja valtion virastojen budjettien ja kykyjen rajoissa.
Testaakseen laitteidesi sormenjälkitunnistuksen turvallisuutta Talos-tiimi päätti pitää budjetin suhteellisen alhaisena. Sitten he käyttivät kolmea menetelmää sormenjälkien keräämiseen. Ensin he loivat muotteja muovailuvahasta. Toiseksi he kopioivat digitaalisesti sormenjäljet sormenjälkitunnistimesta – erityisesti sen tyypin, jota saatat käyttää tullessasi tai liikkeelle tullessasi. Ja kolmanneksi he ottivat kuvia sormenjäljistä magnesiumjauheella harjatulla lasilla (samanlainen kuin sormenjälkien pyyhkiminen).
Ensimmäinen menetelmä toimi kontrollina, koska se loisi tarkimman sormenjäljen.
Sen jälkeen he käyttivät ohjelmistoa yhdistääkseen ja parantamaan tarvittaessa sormenjälkitietoja sensoreista tai kuvista ja vietiin ne 3D-tulostintiedostoon. Näin he voivat 3D-tulostaa hartsimuotin (joka vaati erikoistuneen UV-soveltuvan tulostimen) sormenjälkien luomiseksi. Tutkijat yrittivät tulostaa 3D-sormenjäljet suoraan, mutta se epäonnistui. Sen sijaan 3D-painetut muotit yhdistettynä tekstiililiimaan tekivät tempun.
Kun väärennetyt sormenjäljet olivat käsillä, Talos havaitsi, että se pystyi avaamaan mobiililaitteiden lukituksen 80 % ajasta. He testasivat Applen, Samsungin ja Huawein laitteita ja onnistuivat kaikilla laitteilla käytetyn sormenjälkitunnistimen tyypistä riippumatta.
Kannettavat tietokoneet olivat eri tarina. Windows Hello ei ihastunut vääriin sormenjälkiin, mutta Apple MacBook Prot huijasivat. Samoin Verbatim ja Lexar USB:t eivät avautuneet väärennettyjen sormenjälkien vuoksi.
Silti älypuhelimien korkea menestysprosentti on sanonta. Se ei tarkoita, että se oli helppoa; Taloksen mukaan virhemarginaalit ovat pienet. Vain 1 % liian suuri tai liian pieni sormenjälki ei esimerkiksi avaa laitteiden lukitusta. Ja kovetusprosessin vuoksi toimivan väärennetyn sormenjäljen saaminen kesti usein yli 50 muottiyritystä. Kaiken kaikkiaan Talos kuvaili prosessia "vaikeaksi ja tylsäksi".
Mutta tutkimus osoittaa, että taholle, jolla on aikaa, kärsivällisyyttä ja budjetti niinkin alhainen kuin 2 000 dollaria, sormenjälkilukituspuhelimeen murtautuminen on täysin mahdollista. Jos et ennakoi ongelmaa tämän tiedon kanssa, TouchID:n kaltaiset ominaisuudet tarjoavat silti paljon mukavuuksia. Mutta turvallisuuden takaamiseksi vaihda PIN-koodiin.
Lähde: Talos