Forskare använder 3D-skrivare för att lura telefonens fingeravtrycksläsare
Fingeravtrycksläsare är en bekväm metod för att komma åt dina telefoner och enheter, men de är inte säkra. Om du vill ha säkerhet bör du hålla dig till en lång PIN-kod, eller ännu bättre, ett lösenord (om möjligt). Forskare från Cisco Talos underströk den punkten när de bröt sig in i flera enheter med en $2 000 Resin 3D-skrivare, programvara och lim.
Nu är poängen med forskningen inte att antyda att din granne lätt skulle kunna komma in i din enhet med en 3D-skrivare från hyllan och lite fingeravtryckspulver. Nej, Talos-forskarna erkänner fullt ut att det de har gjort är tråkigt arbete och skulle kräva en budget någonstans i närheten av $2 000.
Men även om det inte är "din genomsnittliga Joe" småpengar och Googles kunskap, ligger det väl inom området för många brottsbekämpande och statliga myndigheters budgetar och möjligheter.
För att testa säkerheten för fingeravtrycksautentisering i dina enheter, bestämde sig Talos-teamet för att hålla budgeten relativt låg. De använde sedan tre metoder för att samla in fingeravtryck. Först skapade de formar med plasticine. För det andra kopierade de fingeravtryck digitalt från en fingeravtryckssensor – specifikt den typ du kan använda när du går till tullen eller går in i ett företag. Och för det tredje tog de bilder av fingeravtryck på glas borstat med magnesiumpulver (liknande "dammning för fingeravtryck).
Den första metoden fungerade som en kontroll eftersom den skulle skapa det mest exakta fingeravtrycket.
De använde sedan programvara för att kombinera vid behov och förbättra fingeravtrycksdata från sensorer eller bilder och exporterade den till en 3D-skrivarfil. Det lät dem 3D-printa en hartsform (som krävde en specialiserad UV-kompatibel skrivare) för att skapa fingeravtryck. Forskarna försökte 3D-skriva ut fingeravtryck direkt, men det misslyckades. Istället gjorde 3D-printade formar i kombination med textillim susen.
Med de falska fingeravtrycken till hands fann Talos att det kunde låsa upp mobila enheter 80 % av gångerna. De testade Apple-, Samsung- och Huawei-enheter och fann framgång med varje enhet, oavsett vilken typ av fingeravtryckssensor som används.
Bärbara datorer var en annan historia. Windows Hello föll inte för de falska fingeravtrycken, men de lurade Apple MacBook Pros. Likaså låstes inte Verbatim och Lexar USBs upp för de falska fingeravtrycken.
Ändå är den höga framgångsfrekvensen på smartphones talande. Det betyder inte att det var lätt; enligt Talos är felmarginalerna små. Ett fingeravtryck som är bara 1 % för stort eller för litet kommer till exempel inte att kunna låsa upp enheter. Och på grund av härdningsprocessen tog det ofta mer än 50 mögelförsök att få ett falskt fingeravtryck som fungerade. Sammantaget beskrev Talos processen som "svår och tråkig."
Men forskningen visar att för en enhet med tid, tålamod och en budget så låg som $2 000 är det fullt möjligt att bryta sig in i din fingeravtryckslåsta telefon. Om du inte förutser ett problem med den kunskapen, ger funktioner som TouchID fortfarande många bekvämligheter. Men för största möjliga säkerhet, byt till en PIN-kod.
Källa: Talos