Не довіряйте сканерам: відбитки пальців навчилися красти через звуки дотиків до екранів
Як встановили вчені, за п'ять спроб нова технологія у третині випадків дозволяє частково відтворити відбитки пальців користувача, а у 9,3% — повністю. Але для цього треба спочатку отримати доступ до мікрофона.
Відбитки пальців для автентифікації можна вкрасти не тільки під час дотику або через зображення, але й за звуком, який видають пальці, коли ковзають сенсорним екраном. Про наукову працю на цю тему повідомляє сайт Tom`s Hardware.
Американські та китайські дослідники дізналися про нову небезпеку для біометричної автентифікації через відбиток пальця. У праці "PrintListener: Виявлення вразливості автентифікації за відбитками пальців через звук тертя пальців" розглядається можлива атака з використанням звуків руху пальця користувача, для зчитування особливостей відбитків пальців.
ВажливоЗа результатами дослідів вчені заявили, що розроблена ними методика здатна відновити 27,9% часткових відбитків пальців та 9,3% повних за 5 спроб. Вони стверджують, що це перше дослідження використання звуків для набуття інформації про відбитки пальців.
З аутентифікацією за відбитками мав справу майже кожен у власному смартфоні. Це швидкий метод зайти у систему та критично важливі програми, такі як клієнти банків. Окрім загального, у відбитків маса випадків спеціалізованого використання, наприклад у криміналістиці. Зараз організації та окремі користувачі почали здогадуватися, що злодії можуть вкрасти навіть відбитки пальців. Деякі люди почали ховати відбитки рук від камер та інших засобів їхнього захвату.
Для крадіжки зловмисники можуть скористатися мікрофоном того ж смартфона. Багато програм з підтримкою голосових розмов та повідомлень часто працюють з увімкнутим мікрофоном. Також можна модифікувати програми, або створювати нові, щоб вони тримали мікрофон увімкненим.
Інша справа — використати звук для отримання відбитка. Атака, яку науковці назвали PrintListener, складна, але дослідники успішно подолали деякі проблеми, що ускладнюють вирізнення відбитків.
- Заслабкі звуки — потрібний звук локалізують через алгоритм з використанням спектрального аналізу;
- Залежність відділення малюнка відбитка від поведінкових або фізіологічних рис людини — процес полегшують методи мінімальної надмірності, максимальної релевантності (mRMR) та адаптивна стратегія зважування;
- Перехід від первинних ознак відбитків до вторинних — за допомогою статистичного аналізу зв’язків між цими ознаками та евристичного пошуку.
Дослідницька група протестувала атаку PrintListener у багатьох реальних сценаріях. Алгоритм дійсно може сприяти успішній частковій атаці за відбитком пальця майже у третині випадків та атаці за повним відбитком пальця у кожному десятому. Ці результати значно перевершують атаки за словниками відбитків пальців.
З аутентифікацією пальцем пов'язана й ще одна небезпека. Відбитки пальців різних людей можуть виявитися схожими — так само як схожі відбитки різних пальців однієї людини.