HTCinside


Útočníci mohou obejít ověřování otisků prstů s ~80% úspěšností

Před oblibou snímačů otisků prstů na mobilních zařízeních a tabletech byly tyto snímače vyhrazeny pro nejprémiovější pracoviště a také elektronické zboží. Apple přišel a změnil to vše samozřejmě se svým revolučním Touch ID. První iterace Touch ID však nebyla vůbec bezpečná, hackeři se přes něj dokázali dostat do 48 hodin od jeho vydání s falešným otiskem prstu. Uvolnění a senzory se od té doby změnily, aby se staly bezpečnějšími, což bylo velmi naléhavé, pokud je výrobci telefonů měli používat jako prodejní místo na svých zařízeních.

Nedávná studie zveřejněná bezpečnostní skupinou Talos společnosti Cisco však obsahuje varování pro uživatele otisků prstů. Říkají, že ti lidé, kteří by mohli být cílem státem podporovaných hackerů, jak jsme v poslední době viděli nárůst počtu, nebo ti, kteří by se mohli stát cílem jiných kvalifikovaných, dobře financovaných a odhodlaných útočných skupin, by možná neměli používat snímače otisků prstů pro zabezpečení. vůbec. Toto prohlášení přichází poté, co skupina testovala ověřování otisků prstů nabízené různými výrobci, jako jsou Apple, Samsung, Huawei, Microsoft a tři další výrobci zámků. V důsledku toho bylo zjištěno, že falešné otisky prstů byly schopny projít autentizací „alespoň jednou, zhruba v 80 procentech času“.

Skupina začala vytvářením forem otisků prstů, z nichž bylo vytvořeno asi 50, než šla zařízení otestovat. Každé z vybraných zařízení dostalo 20 pokusů s nejlepší vytvořenou formou na otisky prstů. Z těchto 20 pokusů bylo 17 úspěšných, zveřejnila zpráva. Nejnáchylnějšími zařízeními byly visací zámek AICase, Huawei Honor 7x a Samsung Note 9, přičemž výzkumníci měli 100% úspěšnost. 90procentní úspěšnost byla hlášena u zařízení iPhone 8, MacBook Pro 2018 a Samsung S10.

Nejlépe si vedly notebooky se systémem Windows 10 a dvěma USB disky vybranými pro tento test, Verbatim Fingerprint Secure a Lexar Jumpdrive F35. Vědci se domnívali, že důvodem bylo to, že srovnávací algoritmus pro Windows 10 byl umístěn v samotném operačním systému, což znamená, že výsledky jsou sdíleny mezi ostatními platformami.

Výzkumníci společnosti Talos Paul Rascagneres a Vitor Ventura uvedli, že „Výsledky ukazují, že otisky prstů jsou dostatečně dobré na to, aby chránily soukromí průměrného člověka, pokud ztratí svůj telefon. Avšak osoba, na kterou se pravděpodobně zaměří dobře financovaný a motivovaný herec, by neměla používat ověřování otisků prstů.“

Přečtěte si -Hackeři využívají strach z koronaviru, aby přiměli uživatele, aby klikali na škodlivé e-maily



I když se jedná o výzkum nutící k zamyšlení, samotná studie výslovně uvedla, že toto testování vyžadovalo několik měsíců práce, která byla věnována vytvoření forem na otisky prstů, než bylo úspěšně vytvořeno to, které fungovalo proti zařízení. Celkový obrázek tedy naznačuje, že tento podnik je extrémně časově náročný a drahý, nemluvě o sporné úspěšnosti ve scénáři útoku v reálném čase.