Считается, что биометрическая аутентификация – это более безопасная альтернатива традиционным паролям. Аутентификация посредством отпечатков пальцев в настоящее время является наиболее распространенной формой биометрии и используется в смартфонах, ноутбуках и других устройствах, таких как «умные» замки и USB-накопители.
Однако проведенное экспертами Cisco Talos исследование показало, что в 80% случаев аутентификацию посредством отпечатков пальцев можно без труда обойти.
Для своих тестов исследователи брали отпечатки пальцев непосредственно у целевого пользователя устройства или с поверхностей, к которым притрагивалась потенциальная жертва. При этом специалисты установили относительно низкий бюджет для этого исследования, чтобы определить, чего может достичь атакующий с ограниченными ресурсами. Так, в общей сложности они потратили около 2000 долларов на тестирование устройств Apple, Microsoft, Samsung, Huawei и так далее.
Эксперты обрабатывали полученные отпечатки фильтрами для повышения контрастности, использовали 3D-принтер для создания слепков, а затем формировали поддельный отпечаток, заполяя эту форму недорогим клеем. При работе с емкостными датчиками материалы также должны были включать графит и алюминиевую пудру для увеличения проводимости.
Аналитики проверили поддельные отпечатки пальцев на оптических, емкостных и ультразвуковых дактилоскопических сканерах, но не обнаружили каких-либо существенных различий с точки зрения безопасности. Зато в Cisco Talos отмечают, что достигли наилучших показателей, атакуя ультразвуковые сенсоры, которые являются новейшим и обычно встроены прямо в дисплей устройства.
Легче всего обмануть при помощи фальшивых отпечатков пальцев удалось замок AICase, а также смартфоны Huawei Honor 7x и Samsung Note 9 на базе Android. Для этих девайсов атаки были успешными в 100% случаев.
Почти столь же успешными были атаки на iPhone 8, MacBook Pro 2018 и Samsung S10, где показатель успеха составил более 90%.
Пять моделей ноутбуков под управлением Windows 10 и два USB-накопителя (Verbatim Fingerprint Secure и Lexar Jumpdrive F35) показали наилучшие результаты: обмануть их при помощи фальшивки не удалось.
Таким образом, в случае с мобильными телефонами исследователи обошли аутентификацию по отпечаткам пальцев на подавляющем большинстве устройств. На ноутбуках удалось добиться 95% успеха (особенно легко было с MacBook Pro), а вот обойти защиту устройств с Windows 10 на борту, использующих фреймворк Windows Hello, не удалось вовсе.
Аналитики пишут, что, невзирая на тот факт, что обмануть биометрическую аутентификацию на Windows-машинах и USB-накопителях им не удалось, это еще не означает, что они так хорошо защищены. Просто для их взлома нужен другой подход. Вряд ли они устоят перед атакующим с хорошим бюджетом, большим количеством ресурсов и профессиональной командой.
Хотя Samsung A70 тоже продемонстрировал стойкость, исследователи объясняют, что его биометрическая аутентификация попросту работает крайне плохо и зачастую не распознает даже реальные отпечатки пальцев, которые были зарегистрированы в системе.
Основываясь на полученных результатах, специалисты делают вывод, что технология аутентификации по отпечаткам пальцев еще не достигла уровня, после которого ее можно будет считать надежной и безопасной. Фактически, исследователи пишут, что аутентификация по отпечаткам пальцев на смартфонах стала слабее по сравнению с 2013 годом, когда компания Apple представила TouchID для iPhone 5, а затем эта система была взломана.
«Результаты показывают, что отпечатки пальцев достаточно хороши, чтобы защитить личную жизнь рядового человека, если он потеряет свой телефон. Однако человек, который может стать мишенью хорошо финансируемого и мотивированного атакующего, не должен использовать аутентификацию по отпечаткам пальцев.
Для обычного пользователя аутентификация по отпечатку пальца имеет очевидные преимущества и предлагает интуитивно понятный уровень безопасности. Однако если пользователь является потенциальной целью для злоумышленников с хорошим бюджетом, а его устройство содержит конфиденциальную информацию, мы рекомендуем полагаться на надежные пароли и двухфакторную аутентификацию на основе токенов», — резюмируют эксперты Cisco Talos.
