A autenticação biométrica é considerada uma alternativa mais segura às senhas tradicionais. A autenticação por impressão digital é atualmente a forma mais comum de biometria e é usada em smartphones, laptops e outros dispositivos, como travas inteligentes e unidades USB.
No entanto, um estudo da Cisco Talos descobriu que 80% da autenticação de impressão digital pode ser facilmente contornada.
Para seus testes, os pesquisadores coletaram impressões digitais diretamente do usuário-alvo do dispositivo ou de superfícies que uma vítima potencial havia tocado. Ao mesmo tempo, os especialistas definiram um orçamento relativamente baixo para este estudo, a fim de determinar o que um invasor com recursos limitados pode realizar. Portanto, no total, eles gastaram cerca de US $ 2.000 em dispositivos de teste da Apple, Microsoft, Samsung, Huawei e assim por diante.
Os especialistas processaram as impressões resultantes com filtros para aumentar o contraste, usaram uma impressora 3D para criar as impressões e, em seguida, formaram uma impressão falsa, preenchendo este formulário com cola barata. Ao trabalhar com sensores capacitivos, os materiais também tinham que incluir grafite e pó de alumínio para aumentar a condutividade.
Os analistas testaram as impressões digitais falsas em leitores óticos, capacitivos e ultrassônicos, mas não encontraram diferenças significativas em termos de segurança. Mas o Cisco Talos observa que eles alcançaram o melhor desempenho atacando os sensores ultrassônicos, que são os mais recentes e geralmente embutidos na tela do dispositivo.
Resultado dos testes.
A maneira mais fácil de trapacear com impressões digitais falsas era o bloqueio AICase, bem como os smartphones Huawei Honor 7x e Samsung Note 9 baseados no Android. Para esses dispositivos, os ataques foram 100% bem-sucedidos.
Vídeo promocional:
Os ataques ao iPhone 8, MacBook Pro 2018 e Samsung S10 tiveram quase o mesmo sucesso, com uma taxa de sucesso de mais de 90%.
Cinco modelos de laptop com Windows 10 e duas unidades USB (Verbatim Fingerprint Secure e Lexar Jumpdrive F35) apresentaram os melhores resultados: eles não podiam ser enganados com uma farsa.
Assim, no caso dos telefones celulares, os pesquisadores contornaram a autenticação por impressão digital na grande maioria dos dispositivos. Em laptops, conseguimos 95% de sucesso (foi especialmente fácil com o MacBook Pro), mas não foi possível ignorar a proteção dos dispositivos Windows 10 a bordo usando a estrutura do Windows Hello.
Analistas escrevem que, apesar do fato de não conseguirem enganar a autenticação biométrica em máquinas Windows e drives USB, isso não significa que eles estejam tão bem protegidos. É necessária uma abordagem diferente para quebrá-los. É improvável que eles resistam a um invasor com um bom orçamento, muitos recursos e uma equipe profissional.
Embora o Samsung A70 também tenha demonstrado resiliência, os pesquisadores explicam que sua autenticação biométrica simplesmente funciona muito mal e muitas vezes nem reconhece impressões digitais reais que foram registradas no sistema.
Com base nos resultados obtidos, os especialistas concluem que a tecnologia de autenticação de impressão digital ainda não atingiu o nível a partir do qual pode ser considerada confiável e segura. Na verdade, os pesquisadores escrevem que a autenticação da impressão digital do smartphone tornou-se mais fraca desde 2013, quando a Apple introduziu o TouchID para o iPhone 5, e então o sistema foi hackeado.
Autor: Maria Nefedova