Дослідники використовують 3D-принтери, щоб обдурити сканер відбитків пальців вашого телефону
Сканери відбитків пальців – це зручний спосіб отримати доступ до ваших телефонів і пристроїв, але вони не є безпечними. Якщо вам потрібна безпека, вам слід використовувати довгий PIN-код або, ще краще, пароль (якщо можливо). Дослідники з Cisco Talos підкреслили цей момент, коли вони зламали кілька пристроїв за допомогою 3D-принтера Resin вартістю 2000 доларів, програмного забезпечення та клею.
Тепер суть дослідження полягає не в тому, щоб припустити, що ваш сусід міг легко потрапити до вашого пристрою за допомогою стандартного 3D-принтера та порошку відбитків пальців. Ні, дослідники Talos повністю визнають, що те, що вони зробили, є виснажливою роботою і потребує бюджету приблизно в 2000 доларів.
Але, хоча це не дрібниці «вашого середнього Джо» та знання Google, це цілком входить у сферу бюджетів і можливостей багатьох правоохоронних органів та державних установ.
Щоб перевірити безпеку аутентифікації відбитків пальців у ваших пристроях, команда Talos вирішила зберегти бюджет відносно низьким. Потім вони використовували три методи збору відбитків пальців. Спочатку з пластиліну створювали формочки. По-друге, вони в цифровому вигляді скопіювали відбитки пальців із датчика відбитків пальців — зокрема, тип, який ви можете використовувати, коли йдете на митницю чи входите у бізнес. І по-третє, вони сфотографували відбитки пальців на склі, обробленому порошком магнію (схоже на «запилення відбитків пальців»).
Перший метод служив контролем, оскільки створював найточніший відбиток пальця.
Потім вони використовували програмне забезпечення, щоб об’єднати, якщо необхідно, та покращити дані відбитків пальців із датчиків або зображень, а потім експортували їх у файл 3D-принтера. Це дозволило їм 3D надрукувати смоляну форму (для чого потрібен був спеціалізований УФ-принтер) для створення відбитків пальців. Дослідники спробували надрукувати 3D відбитки пальців безпосередньо, але це не вдалося. Натомість 3D-друковані форми в поєднанні з текстильним клеєм зробили свою справу.
Маючи під рукою підроблені відбитки пальців, Talos виявив, що може розблокувати мобільні пристрої у 80% випадків. Вони протестували пристрої Apple, Samsung і Huawei і досягли успіху з кожним пристроєм, незалежно від типу використовуваного датчика відбитків пальців.
З ноутбуками була інша історія. Windows Hello не полюбилася на підроблені відбитки пальців, але вони обдурили Apple MacBook Pro. Так само USB-пристрої Verbatim і Lexar не розблокувалися для фальшивих відбитків пальців.
Проте високий рівень успіху на смартфонах показує. Це не означає, що це було легко; за словами Талоса, межі похибки невеликі. Наприклад, відбиток пальця на 1% завеликий або занадто малий не зможе розблокувати пристрої. І через процес затвердіння, щоб отримати підроблений відбиток пальця, який спрацював, часто потрібно було більше 50 спроб зліпити. Загалом Талос описав цей процес як «важкий і виснажливий».
Але дослідження показує, що для організації, яка має час, терпіння та бюджет у 2000 доларів, зламати ваш телефон із заблокованим відбитком пальця цілком можливо. Якщо ви не бачите проблеми з цими знаннями, такі функції, як TouchID, все одно забезпечують багато зручностей. Але для максимальної безпеки перейдіть на PIN-код.
Джерело: Талос