Lako je prevariti skener otiska prsta na telefonu. Evo kako bismo to trebali popraviti.

Početkom prošlog tjedna postavljao sam senzore za otiske prstiju na svom novom iPhoneu. Tada je moj brat @Prateek došao na ideju da testira ove mobilne senzore otiska prsta.

Test je bio skenirati njegov prst zajedno s mojim u vrijeme postavljanja otiska prsta. Znate kako ti uređaji traže da više puta podignete i zatim odmarate prst kako biste uhvatili sve moguće kutove. Uspjeli smo - nekoliko puta mu je skenirao prst kad je telefon očekivao da podignem i odmorim samo prst.

Na moje zaprepaštenje, uspjeli smo blefirati telefon. Postavljanje je bilo dovršeno i sada bismo oboje mogli prstom otključati telefon. Ovako su izgledale postavke - konfiguriran je samo jedan prst i obojica bismo mogli otključati telefon.

U mozak nam se uvukla misao: je li ovo neka vrsta bube ili što? Za sada je ovo bilo vrijeme za zabavnu vježbu - isprobati je sa svim ostalim telefonima koji podržavaju prepoznavanje otiska prsta.

Tako smo započeli s raznim Android telefonima, nekoliko s stock ROM-om, a drugi s prilagođenim operativnim sustavima treće strane poput Micromaxa, Lenovo i Xiaomi. Rezultat je bio isti za sve. Svaki bi prstom mogao otključati isti telefon dok je postavljen samo jedan prst.

Prvo, shvatimo kako ovi mobilni skeneri otiska prsta rade

Držeći se točke, iza skeniranja otiska prsta u mobilnim telefonima postoje dvije popularne i temeljne tehnologije.

Optički skener - ova tehnika koristi optičku sliku za hvatanje različitih slika vašeg prsta. Ovdje radi svoj posao neka vrsta visoko precizne kamere i nekoliko LED dioda. Softver zatim uspoređuje ove dvodimenzionalne slike sa slikom snimljenom sa skeniranog prsta.

Budući da je ovo u osnovi samo slika koja se uspoređuje, ove je skenere lako prevariti. Slika prsta otisnuta pomoću visokog DPI pisača dovoljna je da prevari ove vrste skenera.

Skener kondenzatora - ovdje niz kondenzatora bilježi uzorak sa skenirane slike. Složeni električni krug ispod hvata podatke i koristi se za usporedbu skeniranog prsta.

Ova je tehnika daleko sigurnija i teško ju je prevariti. Slika prsta visoke razlučivosti ne može se koristiti za otključavanje telefona. Samsung Galaxy S8 telefon tvrdi da koristi ovu tehniku.

Sada je vrijeme za raspravu: je li to ispravno ili nije?

U početku, kad vidite da se to događa, možete reći da se događa nešto neobično. Da bi skener otiska prsta bio siguran, važne su sljedeće komponente:

  • Tehnika skeniranja - hardver koji se koristi za skeniranje prsta i izvlačenje podataka / uzoraka s njega.
  • Pohrana - Baza podataka u kojoj se pohranjuju podaci / uzorak otiska prsta.
  • Algoritam - koristi se za pohranu i usporedbu skeniranog uzorka.

Za ukupnu sigurnost, snimanje otiska prsta jednako je važno kao i referenca baze podataka za provjeru. Čini se da postoji nedostatak i neučinkovitost u načinu na koji se pohranjuju otisci prstiju.

Gledajući gornji slučaj, čini se da se različiti otisci otisaka prstiju prikupljeni u trenutku postavljanja pohranjuju kao neovisni skup podataka. Kada skenirate prst da biste otključali uređaj, skeniranje se uspoređuje s nizom binarnog prikaza prstiju koji su skenirani u vrijeme postavljanja. Moguće je da smo na ovaj način uspjeli prevariti telefon skenirajući prst druge osobe u trenutku postavljanja.

Čini se da postoji konceptualni i temeljni problem u načinu na koji sustav trenutno radi.

Ne mogu tvrditi ni za jedan slučaj upotrebe koji bi to mogao dovesti do sigurnosnog jaza. No budući da se prilagodba provjere autentičnosti na temelju otiska prsta brzo povećava, a njezina upotreba nadilazi samo otključavanje uređaja, ima smisla poboljšati tehnologiju kako bi se premostila praznina.

Pa, što dalje?

U vrijeme postavljanja, uzastopna snimanja prsta mogla su se međusobno uspoređivati ​​kako bi se osiguralo da su svi snimljeni pregledi istog prsta. Očito je postojanje određenog postotka preklapanja između različitih skeniranja. Takvo što bi zaustavilo Prateeka Dwivedija da ne skenira prst kad sam pokušavao namjestiti telefon. To bi osiguralo način snimanja otisaka prstiju u trenutku postavljanja.

Dohvat bi mogao biti sigurniji ako se ne uspoređuje skeniranje za otključavanje uređaja sa samo jednim od unaprijed spremljenih skeniranja. U idealnom slučaju, skeniranje će se u velikoj mjeri usporediti s jednim od pohranjenih prikaza, a donekle će se usporediti i sa svim ostalim skeniranjima. Umjesto da se oslanjamo na samo jednu optimalnu utakmicu, trebali bismo postići utakmicu na temelju usporedbe svih reprezentacija. Za provjeru autentičnosti treba uzeti u obzir akumulirani postotak usporedbe.

Zaključak

Da zaključim, kao što sam istaknuo u svom prethodnom blogu - „Biometrijska identifikacija i upotreba u bankarskim mobilnim aplikacijama:“

Biometrijska provjera autentičnosti još nije dovoljno sigurna. Nedavno smo vidjeli sklonost i pomak prema korištenju ovih tehnika također za plaćanja i financijske transakcije. Porast mobilnih telefona i IoT uređaja dodao je prilagodbu tehnikama biometrijske provjere autentičnosti. Vrijeme je da više razmislimo o tome da tehnologiju biometrijske provjere autentičnosti učinimo sigurnijom i teškom za kompromis.

Slijedite me na mediju - Nikhil Dwivedi.

Moja twitter ručka je - @Niks_Dwivedi