Forscher verwenden 3D-Drucker, um den Fingerabdruckscanner Ihres Telefons zu täuschen
Fingerabdruckscanner sind eine bequeme Methode, um auf Ihre Telefone und Geräte zuzugreifen, aber sie sind nicht sicher. Wenn Sie Sicherheit wollen, sollten Sie bei einer langen PIN bleiben, oder noch besser bei einem Passwort (wenn möglich). Forscher von Cisco Talos unterstrichen diesen Punkt, als sie mit einem 2.000-Dollar-Resin-3D-Drucker, Software und Klebstoff in mehrere Geräte einbrachen.
Nun geht es bei der Recherche nicht darum, zu behaupten, dass Ihr Nachbar mit einem handelsüblichen 3D-Drucker und etwas Fingerabdruckpulver leicht in Ihr Gerät gelangen könnte. Nein, die Talos-Forscher geben voll und ganz zu, dass das, was sie getan haben, mühsame Arbeit ist und ein Budget irgendwo in der Nähe von 2.000 Dollar erfordern würde.
Aber obwohl das nicht die Portokasse und das Wissen von Google ist, liegt es durchaus im Bereich der Budgets und Fähigkeiten vieler Strafverfolgungs- und Regierungsbehörden.
Um die Sicherheit der Fingerabdruckauthentifizierung in Ihren Geräten zu testen, hat sich das Talos-Team vorgenommen, das Budget relativ gering zu halten. Sie verwendeten dann drei Methoden zum Sammeln von Fingerabdrücken. Zuerst stellten sie Formen aus Plastilin her. Zweitens kopierten sie digital Fingerabdrücke von einem Fingerabdrucksensor – insbesondere dem Typ, den Sie verwenden könnten, wenn Sie zum Zoll gehen oder ein Geschäft betreten. Und drittens fotografierten sie Fingerabdrücke auf mit Magnesiumpulver gebürstetem Glas (ähnlich dem „Abstauben von Fingerabdrücken”).
Die erste Methode diente als Kontrolle, da sie den genauesten Fingerabdruck erzeugen würde.
Sie verwendeten dann eine Software, um die Fingerabdruckdaten von Sensoren oder Bildern nach Bedarf zu kombinieren und zu verbessern, und exportierten sie in eine 3D-Druckerdatei. Dadurch konnten sie eine Harzform (für die ein spezieller UV-fähiger Drucker erforderlich war) in 3D drucken, um Fingerabdrücke zu erstellen. Die Forscher versuchten, Fingerabdrücke direkt in 3D zu drucken, aber das schlug fehl. Stattdessen haben 3D-gedruckte Formen in Kombination mit Textilkleber den Zweck erfüllt.
Mit den gefälschten Fingerabdrücken stellte Talos fest, dass es mobile Geräte in 80 % der Fälle entsperren konnte. Sie testeten Apple-, Samsung- und Huawei-Geräte und waren mit jedem Gerät erfolgreich, unabhängig von der Art des verwendeten Fingerabdrucksensors.
Laptops waren eine andere Geschichte. Windows Hello fiel nicht auf die gefälschten Fingerabdrücke herein, aber sie täuschten Apple MacBook Pros. Ebenso wurden USBs von Verbatim und Lexar nicht für die gefälschten Fingerabdrücke entsperrt.
Dennoch spricht die hohe Erfolgsquote auf Smartphones. Das bedeutet nicht, dass es einfach war; Laut Talos sind die Fehlermargen gering. Ein Fingerabdruck, der nur 1 % zu groß oder zu klein ist, kann beispielsweise Geräte nicht entsperren. Und aufgrund des Aushärtungsprozesses dauerte es oft mehr als 50 Schimmelversuche, um einen gefälschten Fingerabdruck zu erhalten, der funktionierte. Insgesamt beschrieb Talos den Prozess als „schwierig und langwierig”.
Aber die Forschung zeigt, dass es für ein Unternehmen mit Zeit, Geduld und einem Budget von nur 2.000 US-Dollar durchaus machbar ist, in Ihr per Fingerabdruck gesperrtes Telefon einzubrechen. Wenn Sie mit diesem Wissen kein Problem sehen, bieten Funktionen wie TouchID immer noch viele Annehmlichkeiten. Wechseln Sie jedoch für die größtmögliche Sicherheit zu einer PIN.
Quelle: Talos