Исследователи смогли обмануть разные сканеры отпечатков пальцев в 80 процентах случаев

Специалисты из компании Cisco Talos провели исследование безопасности распространенных сканеров отпечатков пальцев и методов их обмана с помощью копии отпечатка. Результаты показали, что имея относительно небольшой бюджет, злоумышленник может получить копии отпечатков, работающие со сканерами во многих смартфонах и ноутбуках в примерно 80 процентах случаев.

Большинство выпускаемых сегодня смартфонов оснащено сканером отпечатков пальцев, потому что использовать его гораздо удобнее, чем вводить длинный пароль и безопаснее, чем простой и короткий PIN-код. У отпечатков пальцев, как и у других биометрических признаков, есть и недостаток, который заключается в том, что в случае утечки их уже нельзя поменять, в отличие от пароля. Тем не менее, распространено мнение, что создать качественную копию отпечатка пальца сложно.

Начиная с выхода в 2013 году первого iPhone со сканером отпечатка пальца исследователи в области информационной безопасности проверяют безопасность некоторых популярных смартфонов, но пользуются разными методами и не всегда эти методы применимы в реальных условиях. Исследователи из Cisco Talos провели свое исследование, в котором исходили из намеренно ограниченного бюджета в две тысячи долларов, а также применяли различные типы устройств и методы создания копий отпечатков.

Для проверки исследователи взяли несколько смартфонов и ноутбуков разных производителей, один планшет (iPad), дверной замок со сканером отпечатка, и две USB-флешки. В этих устройствах установлены датчики трех основных типов (емкостный, оптический и ультразвуковой). На каждый искусственный отпечаток давалось по 20 попыток разблокировки на каждом устройстве.

Авторы выбрали три метода получения отпечатков жертвы. Первый из них — это прямой метод, при котором палец человека прислоняют к мягкому материалу. Исследователи отмечают, что такой способ реально применим только в случае, если человек находится вне сознания или, к примеру, пьян. Второй метод предполагает использование сканера отпечатков пальцев. Такой сценарий реален в основном в случае утечки данных, например, такой которая случилась в прошлом году в Великобритании и раскрыла отпечатки более миллиона граждан. Третий метод наиболее реалистичен и подразумевает, что отпечаток снимается с бытового предмета, такого как бокал.

После получения двумерного изображения с отпечатком его необходимо сделать монохромным, а затем превратить в трехмерную модель, для чего авторы пользовались ZBrush. Они отмечают, что программа достаточно удобна для этой задачи, но им пришлось создать множество предварительных прототипов отпечатков, потому что в ней сложно управлять реальным размером отпечатка. Отливочные формы для копий отпечатков исследователи создавали на 3D-принтере, а сами копии из силиконового полимера или тканевого клея с добавлением порошка из графита и алюминия для увеличения электропроводности.

Результаты тестирования показали, что примерно в 80 процентах попыток смартфоны, планшет, ноутбук на macOS и умный замок позволяют разблокировать себя с помощью копии отпечатка. При этом исследователи не обнаружили существенной разницы между сканерами разных типов, но ожидаемо обнаружили более высокую точность у прямого метода сбора отпечатков с помощью мягкого материала.

Примечательно, что при тестировании ноутбуков на Windows и USB-накопителей со сканерами ни одна попытка не была успешной. Исследователи отмечают, что в случае с ноутбуками причина одинаково высокого результата в том, что в Windows за обработку данных с датчика отвечает сама операционная система, а не алгоритм конкретного производителя устройства.

В итоге авторы пришли к выводу, что защита с помощью отпечатка пальца — это один из самых удобных способов разблокировки и по уровню безопасности он подходит большинству людей. При этом они отметили, что если на устройстве содержатся высоко конфиденциальные данные, лучше пользоваться стойким паролем.

Сканеры отпечатков пальцев на смартфонах нередко подвергаются критике. В прошлом году Nokia обновила алгоритм распознавания отпечатков пальцев на своем смартфоне, потому что пользователи жаловались на частые отказы в разблокировке. После обновления разблокировать смартфон действительно стало легче: порог распознавания понизился настолько, что устройство можно было разблокировать, прислонив пачку жевательной резинки.

Григорий Копиев