Biometrische authenticatie wordt beschouwd als een veiliger alternatief voor traditionele wachtwoorden. Vingerafdrukverificatie is momenteel de meest voorkomende vorm van biometrie en wordt gebruikt in smartphones, laptops en andere apparaten zoals slimme sloten en USB-drives.
Uit een onderzoek van Cisco Talos bleek echter dat 80% van de vingerafdrukverificatie gemakkelijk kan worden omzeild.
Voor hun tests namen de onderzoekers vingerafdrukken rechtstreeks van de beoogde gebruiker van het apparaat of van oppervlakken die een potentieel slachtoffer had aangeraakt. Tegelijkertijd stellen experts voor dit onderzoek een relatief laag budget vast om te bepalen wat een aanvaller met beperkte middelen kan bereiken. In totaal hebben ze dus ongeveer $ 2.000 uitgegeven aan het testen van apparaten van Apple, Microsoft, Samsung, Huawei, enzovoort.
De experts verwerkten de resulterende afdrukken met filters om het contrast te vergroten, gebruikten een 3D-printer om afdrukken te maken en vormden vervolgens een nepafdruk, waarbij ze dit formulier vulden met goedkope lijm. Bij het werken met capacitieve sensoren moesten materialen ook grafiet en aluminiumpoeder bevatten om de geleidbaarheid te vergroten.
Analisten testten de nepvingerafdrukken op optische, capacitieve en ultrasone vingerafdrukscanners, maar vonden geen significante verschillen op het gebied van beveiliging. Maar Cisco Talos merkt op dat ze de beste prestaties bereikten door ultrasone sensoren aan te vallen, die de nieuwste zijn en meestal rechtstreeks in het scherm van het apparaat zijn ingebouwd.
Test resultaten.
De gemakkelijkste manier om vals te spelen met valse vingerafdrukken was het AICase-slot, evenals de Huawei Honor 7x en Samsung Note 9-smartphones op basis van Android. Voor deze apparaten waren aanvallen 100% succesvol.
Promotie video:
Aanvallen op de iPhone 8, MacBook Pro 2018 en Samsung S10 waren bijna even succesvol, met een slagingspercentage van meer dan 90%.
Vijf laptopmodellen met Windows 10 en twee USB-drives (Verbatim Fingerprint Secure en Lexar Jumpdrive F35) lieten de beste resultaten zien: ze konden niet worden misleid met nep.
In het geval van mobiele telefoons hebben onderzoekers dus vingerafdrukverificatie op de overgrote meerderheid van de apparaten omzeild. Op laptops slaagden we erin om 95% succes te behalen (het was vooral gemakkelijk met de MacBook Pro), maar het was niet mogelijk om de bescherming van Windows 10-apparaten aan boord te omzeilen met het Windows Hello-framework.
Analisten schrijven dat, ondanks het feit dat ze biometrische authenticatie op Windows-machines en USB-drives niet hebben misleid, dit niet betekent dat ze zo goed beschermd zijn. Er is gewoon een andere benadering voor nodig om ze te kraken. Het is onwaarschijnlijk dat ze een aanvaller zullen weerstaan met een goed budget, voldoende middelen en een professioneel team.
Hoewel de Samsung A70 ook veerkracht heeft getoond, leggen de onderzoekers uit dat zijn biometrische authenticatie simpelweg buitengewoon slecht werkt en vaak niet eens echte vingerafdrukken herkent die in het systeem zijn geregistreerd.
Op basis van de verkregen resultaten concluderen experts dat de technologie van vingerafdrukverificatie nog niet het niveau heeft bereikt waarna deze als betrouwbaar en veilig kan worden beschouwd. De onderzoekers schrijven zelfs dat de vingerafdrukverificatie van smartphones zwakker is geworden sinds 2013, toen Apple TouchID introduceerde voor de iPhone 5, en toen het systeem werd gehackt.
Auteur: Maria Nefedova