攻击者可以绕过指纹认证,成功率约为80%

攻击者可以绕过指纹认证,成功率约为80%

几十年来,使用指纹来对计算机,网络和限制区域进行用户身份验证的做法(少数值得注意的例外)主要限于使用专业且昂贵的设备的大型且资源丰富的组织。苹果在2013年推出TouchID时,一切都改变了。在几年之内,随着计算机,电话和锁制造商增加了传感器,当用户解锁设备时,基于指纹的验证就可以为大众使用,从而为用户提供了替代密码的功能。

尽管黑客在iPhone 5S中推出该技术后不到48小时便设法用伪造的指纹击败了TouchID,但过去几年来,基于指纹的身份验证变得更加难以击败。如今,在许多(但不是全部)环境中解锁设备时,指纹已被广泛认为是安全的替代密码。

极高的可能性

思科的Talos安全小组在周三发布的一项研究表明,该替代方案并不适合所有人,也就是说,那些可能是由国家资助的黑客或其他熟练,资金充足且有决心的攻击组织所针对的人。研究人员在几个月的时间里花费了大约2,000美元来测试由苹果,微软,三星,华为和三家锁制造商提供的指纹认证。结果:平均而言,假指纹至少大约80%的时间能够绕过传感器一次。

百分比基于研究人员能够创建的具有最佳假指纹的每种设备的20次尝试。虽然Apple Apple产品在要求用户输入PIN或密码之前将用户限制为五次尝试,但研究人员对设备进行了20次尝试(即,一次或多次尝试的多个组)。在20次尝试中,有17次成功。测试的其他产品允许进行更多甚至是无限次的不成功尝试。

周二的报告很快指出,结果需要数月的艰苦工作,在制造一个模具之前,需要创建50多个指纹模具。研究还指出,攻击的要求(包括获得目标指纹的清晰图像,然后物理访问目标设备)意味着只有最有决心和能力最强的对手才能成功。

Talos研究人员Paul Rascagneres和Vitor Ventura写道:“即使这样,成功率水平也意味着我们很有可能在将任何经过测试的设备退回到PIN解锁之前将其解锁。结果表明,指纹很好。足以保护普通人在丢失手机时的隐私。但是,可能会受到资金雄厚且积极进取的演员作为目标的人,不应使用指纹认证。”

最容易伪造指纹的设备是AICase挂锁,华为的Honor 7x和三星的Note 9 Android手机,所有这些手机都被100%地绕过了。接下来是iPhone 8,MacBook Pro 2018和Samsung S10的指纹认证,成功率超过90%。运行Windows 10的五种笔记本电脑型号和两个USB驱动器(Verbatim Fingerprint Secure和Lexar Jumpdrive F35)表现最好,研究人员的成功率达到了0%。

下表总结了结果:

攻击者可以绕过指纹认证,成功率约为80%

橙色线是直接收集方法的成功百分比,蓝色线是图像传感器方法的成功百分比,黄色线是图片方法的成功百分比。

研究人员说,Windows 10机器获得更好结果的原因是所有这些机器的比较算法都驻留在OS中,因此结果在所有平台之间共享。研究人员告诫不要得出结论,Windows 10设备和USB驱动器的成功率为零意味着它们更安全。

他们写道:“我们估计,有了更大的预算,更多的资源以及专门负责此任务的团队,也有可能绕过这些系统。”

测试的另一种产品-三星A70-也达到了0%的失败率,但是研究人员将其归因于即使从已注册的真实指纹接收到输入,也难以使身份验证起作用。

击败指纹认证:方法

指纹认证有两个步骤:捕获(传感器在其中生成指纹图像),以及将输入的指纹与已注册的指纹进行比较的分析。一些设备使用传感器上运行的固件来执行比较,而另一些设备则依赖于操作系统。例如,Windows 10中包含的Windows Hello使用Microsoft的《生物特征设备设计指南》从操作系统中执行比较。

有三种类型的传感器。电容式传感器使用手指的自然电导率来读取打印内容,因为脊会接触读取器,而谷不会。光学传感器通过使用一个光源来读取指纹的图像,该光源照亮与阅读器接触的脊并通过棱镜读取它们。超声波传感器发出超声波脉冲,该超声波脉冲产生回波,该回波被传感器读取,脊和谷记录不同的特征。

研究人员设计了三种技术来收集目标的指纹。第一个是直接收集,涉及目标将手指压在称为Plastiline的粘土品牌上。这样,攻击者就获得了指纹的底片。第二种技术是让目标将手指按在指纹读取器上,例如在机场,银行和边境口岸使用的那种。然后,阅读器将捕获打印的位图图像。第三是在水杯或其他透明表面上捕获印刷品并拍照。

使用打印阅读器或照片方法收集打印后,通常需要进行某些优化。例如,对于在指纹读取器上记录的打印件,必须将多个图像合并在一起以创建单个图像,该图像足够大以通过真实的指纹。下面是该过程的一个示例,该过程是对从禁止时代黑帮Al Capone获得的FBI指纹进行的。

攻击者可以绕过指纹认证,成功率约为80%

同时,必须用滤镜修饰在玻璃上捕获并随后照相的印刷品,以增加对比度。然后,研究人员使用诸如ZBrush之类的数字雕刻工具, 基于2D图片创建3D模型。

攻击者可以绕过指纹认证,成功率约为80%

二维图像在左侧;3D模型在右侧。

一旦从扫描仪或玻璃上收集了指纹然后进行了优化,研究人员便将它们复制到模具上,该模具由织物胶或硅制成。当与电容式传感器配合使用时,材料还必须包括石墨和铝粉以增加导电性。

要成功地成为真正的手指,模具必须具有精确的尺寸。太大或太小的1%的方差都会导致攻击失败。由于必须固化模具以产生刚度并清除毒素,因此这种要求使过程变得复杂。固化经常导致模具收缩。

使用2 5微米或50微米分辨率的3D打印机将打印件铸模到模具上。前者更精确,但需要一个小时来印刷单个模具。后者花了一半的时间,但是不够精确。一旦研究人员创建了模具,他们便将其压在传感器上,以查看其是否将假印刷品当作真正的假品进行注册,以解锁手机,笔记本电脑或锁。

上面显示结果的图表跟踪了针对特定设备的各种收集方法。在7种情况下,直接收集效果最好,而在只有一种情况下,采用另一种方法(指纹读取器)的性能更好。

使它在现实世界中发挥作用

直接收集的较高成功率并不一定意味着它是现实世界中最有效的收集方法,因为它要求对手欺骗或迫使目标将手指压在一块黏土上。相比之下,从打印读取器或从玻璃上的污迹照片获取指纹可能会更好,因为民族国家的攻击者可能更容易从机场或海关检查站恢复打印图像,或者在目标使用后秘密获取水杯。

另一种可能是破坏指纹数据的数据库,就像黑客在2014年那样,他们从美国人事管理办公室窃取了560万套指纹。

Talos研究人员Rascagneres在电子邮件中写道:“直接收集始终是更好的选择,因为我们直接拥有模具(在普拉提线上)”。“大小很完美;我们不需要3D打印机。这是更有效的方法。其他两种收集方法也可以使用,但是成功率低于预期。”

研究人员以仅2,000美元的相对适中的预算平衡了攻击的严格要求。

Rascagneres告诉我:“低预算的目的是确保方案尽可能切合实际。我们确定,如果我们能够以2k美元的价格做到这一点,那么这是合理可行的。我们发现,虽然我们可以保留价格低,制作功能性印刷品的过程实际上非常复杂且耗时。”

研究人员说,要点并不在于指纹认证太弱而不能被信任。对于大多数情况下的大多数人来说,这是完美的选择,并且当风险暂时增加时(例如,带着搜查令的警察来敲门),用户通常可以禁用指纹身份验证,然后使用密码或PIN验证。同时,用户应记住,指纹认证几乎无误。

Talos的另一位研究人员Ventura在一封电子邮件中写道:“任何指纹克隆技术都非常困难,使指纹认证成为95%人口的有效方法。” “具有低风险特征且无需担心民族国家级威胁参与者的人很好。其余的5%可能会暴露在外,并可能需要采取其他预防措施。”

攻击者可以绕过指纹认证,成功率约为80%:等您坐沙发呢!

发表评论

表情
还能输入210个字