HTCinside


Angribere kan omgå fingeraftryksgodkendelse med en succesrate på ~80 %

Før populariteten af ​​fingeraftrykssensorer på mobil- og tablet-enheder, var disse sensorer også forbeholdt de mest premium-arbejdspladser og elektroniske varer. Apple kom rundt og ændrede alt det med sit revolutionerende Touch ID selvfølgelig. Den første iteration af Touch ID var dog slet ikke sikker, idet hackere kunne komme igennem det inden for 48 timer efter dets udgivelse med et falsk fingeraftryk. Udgivelser og sensorer siden da har ændret sig til at blive mere sikre, hvilket i høj grad var tidens behov, hvis telefonproducenterne skulle bruge dem som et salgsargument på deres enheder.

En nylig undersøgelse offentliggjort af Ciscos sikkerhedsgruppe Talos har dog en advarsel til fingeraftryksbrugerne. De siger, at de mennesker, der kunne blive målrettet af statssponsorerede hackere, som vi har set stigende i antal for nylig, eller dem, der kunne være mål for andre dygtige, velfinansierede og beslutsomme angrebsgrupper, måske ikke bør bruge fingeraftrykssensorer for sikkerhed overhovedet. Denne erklæring kommer efter, at gruppen har testet fingeraftryksgodkendelsen, der tilbydes af forskellige producenter såsom Apple, Samsung, Huawei, Microsoft og tre andre låseproducenter. Følgelig fandt man ud af, at falske fingeraftryk var i stand til at komme igennem autentificeringen 'mindst én gang omkring 80 procent af tiden.'

Gruppen var startet med at lave forme af fingeraftrykkene, hvoraf omkring 50 blev lavet, inden de gik til at teste enhederne. Hver af de valgte enheder fik 20 forsøg med den bedste fingeraftryksform skabt. Af disse 20 forsøg var 17 vellykkede, offentliggjorde rapporten. De mest modtagelige enheder var AICase hængelås, Huawei Honor 7x og Samsung Note 9, hvor forskerne havde en succesrate på 100 procent. 90 procent succesrate blev rapporteret for iPhone 8, MacBook Pro 2018 og Samsung S10-enheder.

Bærbare computere med Windows 10 og to USB-drev valgt til denne test, Verbatim Fingerprint Secure og Lexar Jumpdrive F35, klarede sig bedst. En grund til dette, mente forskerne, var, at sammenligningsalgoritmen for Windows 10 lå i selve operativsystemet, hvilket betyder, at resultaterne deles mellem andre platforme.

Talos-forskerne Paul Rascagneres og Vitor Ventura mente, at 'Resultaterne viser, at fingeraftryk er gode nok til at beskytte den gennemsnitlige persons privatliv, hvis de mister deres telefon. Men en person, der sandsynligvis vil blive målrettet af en velfinansieret og motiveret skuespiller, bør ikke bruge fingeraftryksgodkendelse.'

Læs -Hackere udnytter frygten for Coronavirus til at narre brugere til at klikke på ondsindede e-mails

Selvom dette er en tankevækkende forskning, har undersøgelsen i sig selv eksplicit udtalt, at denne test krævede flere måneders arbejde, der er gået med at skabe fingeraftryksformene, før det lykkedes at skabe den, der virkede imod enheden. Så det overordnede billede antyder det faktum, at denne virksomhed er ekstremt tidskrævende og dyr, for ikke at nævne den tvivlsomme succesrate i et realtidsangrebsscenarie.