HTCinside


Napadači mogu zaobići autentifikaciju otiskom prsta s ~80% uspješnosti

Prije popularnosti senzora otiska prsta na mobilnim uređajima i tabletima, ovi senzori bili su rezervirani za najkvalitetnija radna mjesta i elektroničku robu. Apple se pojavio i sve to promijenio svojim revolucionarnim Touch ID-om, naravno. Međutim, prva iteracija Touch ID-a uopće nije bila sigurna, jer su hakeri mogli proći kroz nju u roku od 48 sati od objavljivanja s lažnim otiskom prsta. Izdanja i senzori od tada su se promijenili kako bi postali sigurniji, što je bilo vrlo važno ako su ih proizvođači telefona htjeli koristiti kao prodajno mjesto na svojim uređajima.

Nedavna studija koju je objavila Ciscova sigurnosna grupa Talos, međutim, ima upozorenje za korisnike otisaka prstiju. Kažu da oni ljudi koji bi mogli biti meta hakera pod pokroviteljstvom države, kao što smo vidjeli da ih je u posljednje vrijeme sve više, ili oni koji bi mogli biti meta drugih vještih, dobro financiranih i odlučnih napadačkih skupina možda ne bi trebali koristiti senzore otiska prsta za sigurnost uopće. Ova izjava dolazi nakon što je skupina testirala autentifikaciju otiskom prsta koju nude različiti proizvođači poput Applea, Samsunga, Huaweija, Microsofta i tri druga proizvođača brava. Posljedično, utvrđeno je da su lažni otisci prstiju uspjeli proći autentifikaciju 'barem jednom u otprilike 80 posto slučajeva.'

Grupa je započela stvaranjem kalupa za otiske prstiju, kojih je oko 50 napravljeno, prije nego što su otišli testirati uređaje. Svaki od odabranih uređaja dobio je 20 pokušaja s najboljim stvorenim kalupom za otiske prstiju. Od tih 20 pokušaja, 17 je bilo uspješno, objavljeno je u izvješću. Najosjetljiviji uređaji bili su AICase lokot, Huawei Honor 7x i Samsung Note 9, a istraživači su imali 100-postotnu stopu uspješnosti. Stopa uspjeha od 90 posto prijavljena je za uređaje iPhone 8, MacBook Pro 2018 i Samsung S10.

Prijenosna računala s operativnim sustavom Windows 10 i dva USB diska odabrana za ovaj test, Verbatim Fingerprint Secure i Lexar Jumpdrive F35, pokazala su se najbolje. Istraživači vjeruju da je razlog za to taj što se algoritam za usporedbu za Windows 10 nalazi u samom operativnom sustavu, što znači da se rezultati dijele među drugim platformama.

Istraživači Talosa Paul Rascagneres i Vitor Ventura iznijeli su mišljenje da 'rezultati pokazuju da su otisci prstiju dovoljno dobri da zaštite privatnost prosječne osobe ako izgubi svoj telefon. Međutim, osoba koja će vjerojatno biti meta dobro financiranog i motiviranog aktera ne bi trebala koristiti autentifikaciju otiskom prsta.”

Čitati -Hakeri iskorištavaju strah od koronavirusa kako bi prevarili korisnike da kliknu na zlonamjernu e-poštu

Iako je ovo istraživanje koje potiče na razmišljanje, sama studija je izričito izjavila da je ovo testiranje zahtijevalo nekoliko mjeseci rada uloženog u izradu kalupa za otiske prstiju, prije nego što se uspješno stvorio onaj koji je radio protiv uređaja. Dakle, velika slika ukazuje na činjenicu da je ovaj pothvat izuzetno dugotrajan i skup, da ne spominjemo upitnu stopu uspjeha u scenariju napada u stvarnom vremenu.