Не доверяйте сканерам: отпечатки пальцев научились красть через звуки прикосновений к экранам
Как установили ученые, за пять попыток новая технология в трети случаев позволяет частично воспроизвести отпечатки пальцев пользователя, а в 9,3% — полностью. Но для этого надо сначала получить доступ к микрофону.
Отпечатки пальцев для аутентификации можно украсть не только при прикосновении или через изображение, но и по звуку, который издают пальцы, когда скользят по сенсорному экрану. О научной работе на эту тему сообщает сайт Tom`s Hardware.
Американские и китайские исследователи узнали о новой опасности для биометрической аутентификации через отпечаток пальца. В работе "PrintListener: Выявление уязвимости аутентификации по отпечаткам пальцев через звук трения пальцев" рассматривается возможная атака с использованием звуков движения пальца пользователя, для считывания особенностей отпечатков пальцев.
По результатам опытов ученые заявили, что разработанная ими методика способна восстановить 27,9% частичных отпечатков пальцев и 9,3% полных за 5 попыток. Они утверждают, что это первое исследование использования звуков для получения информации об отпечатках пальцев.
С аутентификацией по отпечаткам имел дело почти каждый в собственном смартфоне. Это быстрый метод зайти в систему и критически важные программы, такие как клиенты банков. Кроме общего, у отпечатков масса случаев специализированного использования, например в криминалистике. Сейчас организации и отдельные пользователи начали догадываться, что воры могут украсть даже отпечатки пальцев. Некоторые люди начали прятать отпечатки рук от камер и других средств их захвата.
Для кражи злоумышленники могут воспользоваться микрофоном того же смартфона. Многие программы с поддержкой голосовых разговоров и сообщений часто работают с включенным микрофоном. Также можно модифицировать программы, или создавать новые, чтобы они держали микрофон включенным.
Другое дело — использовать звук для получения отпечатка. Атака, которую ученые назвали PrintListener, сложная, но исследователи успешно преодолели некоторые проблемы, затрудняющие выделение отпечатков.
- Слабые звуки — нужный звук локализуют через алгоритм с использованием спектрального анализа;
- Зависимость отделения рисунка отпечатка от поведенческих или физиологических особенностей человека — процесс облегчают методы минимальной избыточности, максимальной релевантности (mRMR) и адаптивная стратегия взвешивания;
- Переход от первичных признаков отпечатков к вторичным — с помощью статистического анализа связей между этими признаками и эвристического поиска.
Исследовательская группа протестировала атаку PrintListener во многих реальных сценариях. Алгоритм действительно может способствовать успешной частичной атаке по отпечатку пальца почти в трети случаев и атаке по полному отпечатку пальца в каждом десятом. Эти результаты значительно превосходят атаки по словарям отпечатков пальцев.
С аутентификацией пальцем связана и еще одна опасность. Отпечатки пальцев разных людей могут оказаться похожими — так же как похожи отпечатки разных пальцев одного человека