Нападателите могат да заобиколят удостоверяването с пръстов отпечатък с ~80% успеваемост

Преди да станат популярни сензорите за пръстови отпечатъци на мобилни устройства и таблети, тези сензори бяха запазени за най-висококачествените работни места и електронни стоки. Apple се появи и промени всичко това със своя революционен Touch ID, разбира се. Първата итерация на Touch ID обаче изобщо не беше защитена, като хакерите успяха да преминат през нея в рамките на 48 часа след пускането й с фалшив пръстов отпечатък. Изданията и сензорите оттогава се промениха, за да станат по-сигурни, което беше голяма необходимост на момента, ако производителите на телефони ги използват като точка за продажба на своите устройства.

Скорошно проучване, публикувано от групата за сигурност на Cisco Talos, обаче има предупреждение за потребителите на пръстови отпечатъци. Те казват, че онези хора, които биха могли да бъдат мишена на спонсорирани от държавата хакери, както виждаме, че броят им напоследък нараства, или тези, които биха могли да бъдат мишена на други квалифицирани, добре финансирани и решителни групи за атаки, може би не трябва да използват сензори за пръстови отпечатъци за сигурност изобщо. Това изявление идва, след като групата тества удостоверяването с пръстов отпечатък, предлагано от различни производители като Apple, Samsung, Huawei, Microsoft и трима други производители на брави. Следователно е установено, че фалшивите пръстови отпечатъци са успели да преминат през удостоверяването „поне веднъж в приблизително 80 процента от времето“.

Групата е започнала със създаване на форми на пръстови отпечатъци, около 50 от които са създадени, преди да отиде да тества устройствата. Всяко избрано устройство получи 20 опита с най-добрата създадена форма за пръстови отпечатъци. От тези 20 опита 17 са били успешни, се казва в доклада. Най-податливите устройства са AICase катинар, Huawei Honor 7x и Samsung Note 9, като изследователите имат 100 процента успех. 90 процента успеваемост се съобщава за устройства iPhone 8, MacBook Pro 2018 и Samsung S10.

Лаптопи с Windows 10 и две USB устройства, избрани за този тест, Verbatim Fingerprint Secure и Lexar Jumpdrive F35, се представиха най-добре. Изследователите вярват, че причина за това е, че алгоритъмът за сравнение за Windows 10 се намира в самата операционна система, което означава, че резултатите се споделят между други платформи.

Изследователите на Talos Paul Rascagneres и Vitor Ventura изразиха мнение, че „Резултатите показват, че пръстовите отпечатъци са достатъчно добри, за да защитят поверителността на обикновения човек, ако загуби телефона си. Въпреки това, лице, което е вероятно да бъде насочено от добре финансиран и мотивиран актьор, не трябва да използва удостоверяване с пръстови отпечатъци.

Прочети -Хакерите се възползват от страха от коронавирус, за да подмамят потребителите да кликнат върху злонамерени имейли

Въпреки че това е провокиращо размисъл изследване, самото проучване изрично посочва, че това тестване изисква няколко месеца работа, вложена в създаването на формите за пръстови отпечатъци, преди успешното създаване на тази, която работи срещу устройството. И така, голямата картина подсказва факта, че това начинание отнема изключително много време и е скъпо, да не говорим за съмнителния процент на успех при сценарий на атака в реално време.