Si ritiene che l'autenticazione biometrica sia un'alternativa più sicura alle password tradizionali. L'autenticazione dell'impronta digitale è attualmente la forma più comune di biometria e viene utilizzata in smartphone, laptop e altri dispositivi come lucchetti intelligenti e unità USB.
Tuttavia, uno studio di Cisco Talos ha rilevato che l'80% dell'autenticazione tramite impronte digitali può essere facilmente aggirato.
Per i loro test, i ricercatori hanno prelevato le impronte digitali direttamente dall'utente target del dispositivo o da superfici toccate da una potenziale vittima. Allo stesso tempo, gli esperti hanno fissato un budget relativamente basso per questo studio per determinare cosa può ottenere un utente malintenzionato con risorse limitate. Quindi, in totale, hanno speso circa $ 2.000 per testare dispositivi di Apple, Microsoft, Samsung, Huawei e così via.
Gli esperti hanno elaborato le stampe risultanti con filtri per aumentare il contrasto, hanno utilizzato una stampante 3D per creare impressioni, quindi hanno formato una stampa falsa, riempiendo questo modulo con una colla poco costosa. Quando si lavora con sensori capacitivi, i materiali dovevano includere anche grafite e polvere di alluminio per aumentare la conduttività.
Gli analisti hanno testato le impronte digitali false su scanner di impronte digitali ottici, capacitivi e ultrasonici, ma non hanno riscontrato differenze significative in termini di sicurezza. Ma Cisco Talos osserva di aver ottenuto le migliori prestazioni attaccando i sensori a ultrasuoni, che sono gli ultimi e di solito integrati direttamente nel display del dispositivo.
Risultati del test.
Il modo più semplice per imbrogliare con impronte digitali false era il blocco AICase, così come gli smartphone Huawei Honor 7x e Samsung Note 9 basati su Android. Per questi dispositivi, gli attacchi hanno avuto successo al 100%.
Video promozionale:
Gli attacchi su iPhone 8, MacBook Pro 2018 e Samsung S10 hanno avuto quasi lo stesso successo, con una percentuale di successo superiore al 90%.
Cinque modelli di laptop con Windows 10 e due unità USB (Verbatim Fingerprint Secure e Lexar Jumpdrive F35) hanno mostrato i migliori risultati: non potevano essere ingannati con un falso.
Pertanto, nel caso dei telefoni cellulari, i ricercatori hanno aggirato l'autenticazione delle impronte digitali sulla stragrande maggioranza dei dispositivi. Sui laptop, siamo riusciti a raggiungere il 95% di successo (è stato particolarmente facile con il MacBook Pro), ma non è stato possibile aggirare la protezione dei dispositivi Windows 10 a bordo utilizzando il framework Windows Hello.
Gli analisti scrivono che, nonostante non siano riusciti a ingannare l'autenticazione biometrica su macchine Windows e unità USB, ciò non significa che siano così ben protetti. Ci vuole solo un approccio diverso per decifrarli. È improbabile che resistano a un attaccante con un buon budget, molte risorse e un team di professionisti.
Mentre il Samsung A70 ha anche dimostrato di resilienza, i ricercatori spiegano che la sua autenticazione biometrica funziona semplicemente in modo estremamente scadente e spesso non riconosce nemmeno le vere impronte digitali che sono state registrate con il sistema.
Sulla base dei risultati ottenuti, gli esperti concludono che la tecnologia di autenticazione delle impronte digitali non ha ancora raggiunto il livello dopo il quale può essere considerata affidabile e sicura. In effetti, i ricercatori scrivono che l'autenticazione dell'impronta digitale dello smartphone è diventata più debole dal 2013, quando Apple ha introdotto TouchID per l'iPhone 5, e quindi il sistema è stato violato.
Autore: Maria Nefedova