Легко обдурити сканер відбитків пальців на телефоні. Ось як ми повинні це виправити.

На початку минулого тижня я налаштовував датчики відбитків пальців на своєму новому iPhone. Саме тоді мій брат, @Prateek , виніс ідею протестувати ці мобільні датчики відбитків пальців.

Тестом було сканування його пальця разом з моїм під час налаштування відбитків пальців. Ви знаєте, як ці пристрої просять вас підняти, а потім кілька разів відпочити пальцем, щоб зафіксувати всі можливі кути. Отже, ми це зробили - кілька разів просканували його палець, коли телефон очікував, що я підніму і відпочину лише пальцем.

На мій подив, ми успішно блефували телефон. Налаштування було завершено, і тепер ми обидва могли пальцем розблокувати телефон. Ось так виглядали налаштування - налаштований лише один палець, і ми обидва могли розблокувати телефон.

У наш мозок прокралася думка: це якась помилка, чи що? Наразі це був час для цікавої вправи - спробувати її на всіх інших телефонах, які підтримують зондування відбитків пальців.

Отже, ми почали з різних телефонів Android, деякі із них - зі стандартним ПЗУ, а інші - із спеціальними операційними системами від сторонніх розробників, таких як Micromax, Lenovo та Xiaomi. Результат був однаковий для всіх. Кожен міг пальцем розблоковувати той самий телефон, коли було налаштовано лише один палець.

Спочатку давайте розберемося, як працюють ці мобільні сканери відбитків пальців

Дотримуючись суті, за скануванням відбитків пальців у мобільних телефонах існують дві популярні та основні технології.

Оптичний сканер - ця техніка використовує оптичне зображення для зйомки різних зображень пальця. Тут працює якась високоточна камера та кілька світлодіодів. Потім програмне забезпечення порівнює ці двовимірні зображення із зображенням, знятим зі сканованого пальця.

Оскільки це, по суті, лише зображення, яке порівнюється, ці сканери легко обдурити. Зображення пальця, надрукованого на принтері з високим DPI, достатньо, щоб обдурити ці типи сканерів.

Конденсаторний сканер - тут масив конденсаторів фіксує шаблон зі сканованого зображення. Складна електрична схема, що внизу, фіксує дані і використовується для порівняння відсканованого пальця.

Цей прийом набагато безпечніший і його складно обдурити. Зображення пальця високої чіткості не можна використовувати для розблокування телефону. Телефон Samsung Galaxy S8 стверджує, що використовує цю техніку.

Тепер час для дискусій: правильно це чи ні?

Спочатку, коли ви бачите, що це відбувається, ви можете сказати, що відбувається щось незвичне. Щоб захистити сканер відбитків пальців, важливими є такі компоненти:

  • Техніка сканування - апаратне забезпечення, яке використовується для сканування пальця та вилучення з нього даних / шаблонів.
  • Зберігання - база даних, де зберігаються дані / шаблон відбитка пальця.
  • Алгоритм - використовується для зберігання та порівняння відсканованого шаблону.

Для загальної безпеки запис відбитків пальців так само важливий, як і посилання на базу даних для перевірки. Здається, недолік і неефективність у способі зберігання відбитків пальців.

Розглядаючи наведений вище випадок, виявляється, що різні відбитки відбитків пальців, зібрані під час налаштування, зберігаються як незалежний набір даних. Коли ви скануєте палець, щоб розблокувати пристрій, сканування порівнюється з масивом двійкового подання пальців, які були відскановані під час налаштування. Можливо, саме так ми змогли обдурити телефон, просканувавши палець іншої людини під час налаштування.

Здається, існує концептуальна і фундаментальна проблема в тому, як система працює в даний час.

Я не можу заявити жодного випадку використання, коли це може призвести до розриву в безпеці. Але оскільки адаптація автентифікації на основі відбитків пальців швидко зростає, і її використання вийшло за рамки просто розблокування пристрою, має сенс вдосконалити технологію, щоб подолати розрив.

Отже, що далі?

Під час налаштування послідовне сканування пальця можна було порівняти між собою, щоб переконатися, що всі записані скани були одним пальцем. Очевидно, що існує певний відсоток перекриття між різними скануваннями. Така річ завадила б Пратеку Двіведі сканувати палець, коли я намагався налаштувати телефон. Це забезпечило б спосіб захоплення відбитків пальців під час налаштування.

Отримання може бути більш безпечним, якщо не порівнювати скан, щоб розблокувати пристрій, лише з одним із попередньо збережених сканів. В ідеалі, сканування буде у значній мірі порівнюватися з одним із збережених зображень, а також буде певною мірою порівнюватися з усіма іншими скануваннями. Замість того, щоб покладатися лише на один оптимальний збіг, ми повинні забити матч на основі порівняння з усіх подань. Накопичувальний відсоток порівняння слід враховувати для автентифікації.

Висновок

На закінчення, як я вже зазначав у своєму попередньому блозі - “Біометрична ідентифікація та використання в банківських мобільних додатках:”

Біометрична автентифікація ще недостатньо захищена. Нещодавно ми спостерігаємо схильність і перехід до використання цих методів як для платежів, так і для фінансових операцій. Зростання мобільних телефонів та пристроїв IoT доповнив адаптацію біометричних методів автентифікації. Пора подумати більше про те, щоб зробити технологію біометричної автентифікації більш безпечною та складною для компромісів.

Слідуйте за мною на середньому рівні - Нікхіл Двіведі.

Мій твіттер - @Niks_Dwivedi