Инженеры придумали, как обмануть биометрические сканеры
Метод преодоления биометрической аутентификации по отпечатку пальца опубликовали исследователи американской компании Cisco 8 апреля на портале собственного подразделения Talos.
В статье с заголовком «Клонирование отпечатков пальцев: миф или реальность?» рассмотрены способы изготовления средства, имитирующего папиллярный рисунок пальцев.
Предложены три способа получения отпечатка потенциальной жертвы. Во-первых, прямое создание слепка пальца в момент, когда человек находится в состоянии недееспособности, «например, пьяный». Во-вторых, получение информации о папиллярном рисунке из имеющихся баз данных, например, таможни. В-третьих, использование предметов, на которых остались отпечатки пальцев потенциальной жертвы.
Далее, по словам инженеров Cisco, изготавливался специальный имитатор, для чего использовались технологии 3D-печати. В сам материал добавлялись токопроводящие материалы, что позволило имитировать емкостные характеристики реального пальца.
Исследователи заявили, что их метод позволяет справиться с биометрической защитой мобильных устройств с вероятностью до 80%.
С переносными компьютерами результат оказался неоднозначным. Инженеры Cisco не смогли преодолеть биометрию ноутбуков под управлением операционной системы Windows10 (технология «Windows Hello»), однако тот же имитатор пальца воспринимался платформой MacBook Pro как родной с вероятностью 95%.
Исследователи связали данный факт с тем, что в ноутбуках под управлением Windows 10 алгоритм распознавания имеет специфику и реализован средствами операционной системы.
Новость хороша тем, что разбивает миф о непревзойденной безопасности, которую якобы дает применение биометрической аутентификации в потребительской электронике. В очередной раз показано, что основанную на считывании отпечатков пальцев защиту нельзя считать панацеей.
Не предоставляя в действительности того уровня защиты устройств, который заявляется в рекламе, биометрическая аутентификация несет в себе дополнительные риски. Кто может быть уверен, что персональные данные (да еще такие, которые никак нельзя поменять, в отличии от паспорта, например) не будут доступны злоумышленникам в результате сбоев системы или недобросовестного использования теми бизнес-структурами, которые их собирают?
Что же до применения биометрии (отпечатков пальцев, голоса и др.) для ограничения доступа на особо охраняемые объекты, то здесь она в значительной мере оправдана в качестве дополнительного фактора защиты. И при этом уровень организации такой защиты несравненно выше, чем в ширпотребных устройствах.