Pengesahan biometrik dipercayai sebagai alternatif yang lebih selamat daripada kata laluan tradisional. Pengesahan cap jari pada masa ini merupakan bentuk biometrik yang paling biasa dan digunakan dalam telefon pintar, komputer riba dan peranti lain seperti kunci pintar dan pemacu USB.
Walau bagaimanapun, kajian oleh Cisco Talos mendapati bahawa 80% pengesahan cap jari dapat dilewati dengan mudah.
Untuk ujian mereka, para penyelidik mengambil cap jari terus dari pengguna sasaran peranti atau dari permukaan yang disentuh oleh calon mangsa. Pada masa yang sama, pakar menetapkan anggaran yang agak rendah untuk kajian ini untuk menentukan apa yang dapat dicapai oleh penyerang dengan sumber yang terhad. Jadi, secara keseluruhan, mereka menghabiskan kira-kira $ 2,000 untuk menguji peranti dari Apple, Microsoft, Samsung, Huawei, dan sebagainya.
Para pakar memproses cetakan yang dihasilkan dengan penapis untuk meningkatkan kontras, menggunakan pencetak 3D untuk membuat tayangan, dan kemudian membentuk cetakan palsu, mengisi formulir ini dengan lem yang murah. Semasa bekerja dengan sensor kapasitif, bahan juga harus menyertakan grafit dan serbuk aluminium untuk meningkatkan kekonduksian.
Penganalisis menguji cap jari palsu pada pengimbas cap jari optik, kapasitif dan ultrasonik, tetapi tidak menemui perbezaan yang signifikan dari segi keselamatan. Tetapi Cisco Talos menyatakan bahawa mereka mencapai prestasi terbaik dengan menyerang sensor ultrasonik, yang merupakan yang terbaru dan biasanya dibuat tepat di layar peranti.
Keputusan ujian.
Cara termudah untuk menipu dengan cap jari palsu adalah kunci AICase, serta telefon pintar Huawei Honor 7x dan Samsung Note 9 berdasarkan Android. Untuk peranti ini, serangan berjaya 100%.
Video promosi:
Serangan pada iPhone 8, MacBook Pro 2018 dan Samsung S10 hampir sama berjaya, dengan kadar kejayaan lebih dari 90%.
Lima model komputer riba yang menjalankan Windows 10 dan dua pemacu USB (Verbatim Fingerprint Secure dan Lexar Jumpdrive F35) menunjukkan hasil terbaik: mereka tidak dapat ditipu dengan palsu.
Oleh itu, dalam kes telefon bimbit, para penyelidik mengabaikan pengesahan cap jari pada sebahagian besar peranti. Di komputer riba, kami berjaya mencapai kejayaan 95% (sangat mudah dengan MacBook Pro), tetapi tidak mustahil untuk memintas perlindungan peranti Windows 10 di atas kapal dengan menggunakan kerangka Windows Hello sama sekali.
Penganalisis menulis bahawa walaupun mereka gagal menipu pengesahan biometrik pada mesin Windows dan pemacu USB, ini tidak bermaksud bahawa mereka dilindungi dengan baik. Hanya memerlukan pendekatan yang berbeza untuk memecahkannya. Mereka tidak mungkin menentang penyerang dengan anggaran yang baik, banyak sumber dan pasukan profesional.
Walaupun Samsung A70 juga menunjukkan ketahanan, para penyelidik menjelaskan bahawa pengesahan biometriknya hanya berfungsi dengan sangat buruk dan sering kali tidak mengenali cap jari yang sebenarnya telah didaftarkan dengan sistem ini.
Berdasarkan hasil yang diperoleh, para ahli menyimpulkan bahawa teknologi pengesahan cap jari belum mencapai tahap yang kemudian dapat dianggap dapat dipercayai dan selamat. Sebenarnya, para penyelidik menulis bahawa pengesahan cap jari telefon pintar menjadi semakin lemah sejak 2013, ketika Apple memperkenalkan TouchID untuk iPhone 5, dan kemudian sistem itu diretas.
Pengarang: Maria Nefedova