Китайские исследователи говорят, что им удалось обойти защиту аутентификации по отпечаткам пальцев на смартфонах, устроив атаку грубой силы.

Исследователи из Чжэцзянского университета и Tencent Labs извлекли выгоду из уязвимостей современных сканеров отпечатков пальцев смартфонов, чтобы провести операцию взлома, которую они назвали BrutePrint. Их результаты опубликованы на сервере препринтов arXiv .

Недостаток в функции Match-After-Lock, которая должна блокировать аутентификацию, когда устройство находится в режиме блокировки, был устранен, чтобы исследователь мог продолжать отправлять неограниченное количество образцов отпечатков пальцев.

Недостаточная защита биометрических данных, хранящихся в последовательном периферийном интерфейсе датчиков отпечатков пальцев, позволяет злоумышленникам красть изображения отпечатков пальцев. Образцы также можно легко получить из академических наборов данных или из утечек биометрических данных.

А функция, предназначенная для ограничения количества неудачных попыток сопоставления отпечатков пальцев — Cancel-After-Match-Fail (CAMF) — имеет недостаток, который позволил исследователям ввести ошибку контрольной суммы, отключив защиту CAMF.

Кроме того, BrutePrint изменил незаконно полученные изображения отпечатков пальцев, чтобы они выглядели так, как если бы они были отсканированы целевым устройством. Этот шаг увеличил шансы на то, что изображения будут признаны действительными сканерами отпечатков пальцев.

Все устройства Android и одно устройство HarmonyOS (Huawei), протестированные исследователями, имели как минимум одну уязвимость, позволяющую взломать систему. Из-за более жестких защитных механизмов в устройствах IOS, в частности Apple iPhone SE и iPhone 7, эти устройства смогли противостоять попыткам взлома методом грубой силы. Исследователи отметили, что устройства iPhone подвержены уязвимостям CAMF, но не настолько, чтобы можно было добиться успешного проникновения.

Чтобы осуществить успешный взлом, злоумышленнику требуется физический доступ к целевому телефону в течение нескольких часов, печатная плата, которую легко получить за 15 долларов, и доступ к изображениям отпечатков пальцев.

Базы данных отпечатков пальцев доступны в Интернете через академические ресурсы, но хакеры, скорее всего, получат доступ к огромным объемам изображений, полученных в результате взлома данных. В прошлом месяце правоохранительные органы 18 стран объявили о закрытии крупного нелегального рынка украденных личных данных. Genesis Market, на котором хранятся цифровые отпечатки пальцев и другие частные цифровые данные, выставляла на продажу до 80 миллионов учетных данных.

Биометрическая безопасность является ведущей мерой безопасности цифровых устройств. Отпечатки пальцев и распознавание лиц считаются более предпочтительными, чем пароли и PIN-коды, поскольку их сложнее подделать, их проще использовать (запоминание не требуется) и их нельзя передавать другим пользователям.

Но помимо потенциальных кибератак, таких как BrutePrint, существуют и другие проблемы, связанные с идентификацией отпечатков пальцев. Поддельные отпечатки пальцев и остаточные отпечатки пальцев, оставленные на экранах устройств, — это путь к злоупотреблениям.

Один незадачливый торговец наркотиками из Ливерпуля на собственном горьком опыте убедился, что отпечатки пальцев можно идентифицировать самыми неожиданными способами. После публикации фотографии, на которой он держит в руке упаковку одного из своих любимых продуктов, сыра Стилтон, полиция заметила фотографию, отследила его отпечатки пальцев и арестовала его после того, как связала отпечатки с преступлениями.

Биометрия имеет влияние и на кино. В таких фильмах, как «Шпион, который меня кинул», «Уравнитель 2» и «Жажда смерти» с юмором — и отвратительно — показано, как люди используют и даже отрезают пальцы у мертвых для доступа к телефонам.

Конечно, это работает только в Голливуде. Сегодняшние сканеры отпечатков пальцев не только подтверждают образцы кожи, но также обнаруживают и требуют наличия живой ткани, находящейся в нижних слоях кожи, а также слабые электрические заряды, которые проходят через тела всех нас, но только когда мы живы… и наши пальцы соединены.

Исследователи из Чжэцзянского университета заявили, что обнаруженная ими «беспрецедентная угроза» требует усиления защиты ОС и более тесного сотрудничества между производителями смартфонов и датчиков отпечатков пальцев для устранения существующих уязвимостей.