Зловмисники можуть обійти автентифікацію за відбитками пальців із частотою успіху ~80%.

До появи популярності датчиків відбитків пальців на мобільних і планшетних пристроях ці датчики використовувалися для найпреміальніших робочих місць і електронних товарів. Apple прийшла і змінила все це завдяки своєму революційному Touch ID, звичайно. Однак перша ітерація Touch ID зовсім не була безпечною, оскільки хакери змогли пройти через неї протягом 48 годин після випуску за допомогою підробленого відбитка пальця. Відтоді релізи та датчики змінилися, щоб стати більш безпечними, що було дуже важливою умовою, якщо виробники телефонів мали використовувати їх як пункт продажу на своїх пристроях.

Однак нещодавнє дослідження, опубліковане групою безпеки Cisco Talos, містить попередження для користувачів відбитків пальців. Вони кажуть, що ті люди, які можуть стати мішенню хакерів, які фінансуються державою, кількість яких останнім часом зростає, або ті, хто може стати мішенню інших кваліфікованих, добре фінансованих і цілеспрямованих груп нападників, не повинні використовувати датчики відбитків пальців для безпеки. зовсім. Ця заява була зроблена після того, як група протестувала автентифікацію за відбитками пальців, яку пропонують різні виробники, такі як Apple, Samsung, Huawei, Microsoft і три інших виробники замків. Отже, було виявлено, що підроблені відбитки пальців могли пройти автентифікацію «принаймні один раз приблизно у 80% випадків».

Група почала зі створення форм відбитків пальців, яких було створено близько 50, перш ніж почати тестування пристроїв. Для кожного з обраних пристроїв було надано 20 спроб із створенням найкращої форми відбитків пальців. З цих 20 спроб 17 були успішними, опубліковано у звіті. Найбільш вразливими пристроями були навісний замок AICase, Huawei Honor 7x і Samsung Note 9, при цьому дослідники мали 100-відсотковий показник успіху. Повідомлялося про 90-відсотковий рівень успіху для пристроїв iPhone 8, MacBook Pro 2018 і Samsung S10.

Ноутбуки під керуванням Windows 10 і два USB-накопичувачі, вибрані для цього тесту, Verbatim Fingerprint Secure і Lexar Jumpdrive F35 показали найкращі результати. Причиною цього, на думку дослідників, було те, що алгоритм порівняння для Windows 10 знаходився в самій операційній системі, тобто результати розподілялися між іншими платформами.

Дослідники Talos Paul Rascagneres і Vitor Ventura висловили думку, що «результати показують, що відбитки пальців достатньо хороші, щоб захистити конфіденційність звичайної людини, якщо вона втратить свій телефон». Однак особа, яка, ймовірно, стане мішенню добре фінансованого та мотивованого актора, не повинна використовувати автентифікацію за відбитками пальців».

Читати –Хакери використовують страх перед коронавірусом, щоб обманом змусити користувачів натискати шкідливі електронні листи

Хоча це дослідження спонукає до роздумів, у самому дослідженні прямо зазначено, що для цього тестування знадобилося кілька місяців роботи, яка пішла на створення форм для відбитків пальців, перш ніж успішно створити форму, яка працювала проти пристрою. Таким чином, загальна картина натякає на те, що ця ініціатива є надзвичайно довготривалою та дорогою, не кажучи вже про сумнівний рівень успіху в сценарії атаки в реальному часі.