Cisco: обойти аутентификацию по отпечаткам пальцев можно в 80% случаев

Отпечатки пальцев для тестов получали тремя способами: непосредственно у пользователя устройства, из взломанной системы сбора отпечатков и с поверхностей, к которым прикасался человек. На проверку каждого из трёх методов на каждом устройстве давалось по 20 попыток.

При этом для исследования был установлен относительно низкий бюджет, чтобы определить, чего может достичь атакующий с ограниченными ресурсами. На тестирование устройств Apple, Microsoft, Samsung, Huawei и других известных брендов было потрачено около $2 тысяч.

Полученные отпечатки обрабатывали фильтрами для повышения контрастности, после чего с помощью 3D-принтеров создавались отливочные формы, а сами поддельные отпечатки — из специального полимера.

Отпечатки проверяли на оптических, ёмкостных и ультразвуковых дактилоскопических сканерах. Наиболее уязвимыми оказались ультразвуковые сенсоры, которые являются новейшими и обычно встроены в дисплей устройства.

Легче всего обмануть при помощи искусственных отпечатков пальцев удалось смарт-замок AICase, а также смартфоны Huawei Honor 7x и Samsung Note 9 на базе Android. Атаки на эти гаджеты были успешными в 100% случаев. Чуть безопаснее оказались iPhone 8, MacBook Pro 2018 и Samsung S10, чьи сканеры поддались обману в более 90% случаев.

Хорошую стойкость продемонстрировал Samsung A70, но исследователи объясняют это тем, что его сканер попросту работает крайне плохо и зачастую не распознает даже реальные отпечатки пальцев, зарегистрированные в системе.

Наилучшие результаты показали пять моделей ноутбуков под управлением Windows 10 и два USB-накопителя (Verbatim Fingerprint Secure и Lexar Jumpdrive F35): обмануть их при помощи фальшивки не удалось.

Таким образом, исследователи обошли аутентификацию по отпечаткам пальцев на подавляющем большинстве смартфонов. На ноутбуках успех составил 95% (особенно легко было с MacBook Pro), а обойти защиту устройств с Windows 10 на борту, использующих фреймворк Windows Hello, не удалось вовсе.

Аналитики пишут, что хотя обмануть биометрическую аутентификацию на Windows-устройствах и USB-накопителях им не удалось, это не означает, что они так хорошо защищены, и не факт, что они устоят перед другими подходами для взлома или атакующим с большим бюджетом, ресурсами и профессиональной командой.

Специалисты делают вывод, что технология аутентификации по отпечаткам пальцев ещё не достигла уровня, на котором её можно было бы считать надежной и безопасной. Фактически, пишут они, на смартфонах технология стала слабее по сравнению с 2013 годом, когда Apple представила TouchID для iPhone 5, а затем эта система была взломана. Владельцам устройств, на которых содержится конфиденциальная информация, эксперты Cisco советуют использовать надёжные пароли и двухфакторную аутентификацию на основе токенов.