Es wird angenommen, dass die biometrische Authentifizierung eine sicherere Alternative zu herkömmlichen Passwörtern darstellt. Die Authentifizierung per Fingerabdruck ist derzeit die häufigste Form der Biometrie und wird in Smartphones, Laptops und anderen Geräten wie Smart Locks und USB-Laufwerken verwendet.
Eine Studie von Cisco Talos ergab jedoch, dass 80% der Authentifizierung per Fingerabdruck leicht umgangen werden können.
Für ihre Tests nahmen die Forscher Fingerabdrücke direkt vom Zielbenutzer des Geräts oder von Oberflächen, die von einem potenziellen Opfer berührt wurden. Gleichzeitig haben Experten ein relativ geringes Budget für diese Studie festgelegt, um festzustellen, was ein Angreifer mit begrenzten Ressourcen erreichen kann. Insgesamt gaben sie etwa 2.000 US-Dollar für das Testen von Geräten von Apple, Microsoft, Samsung, Huawei usw. aus.
Die Experten verarbeiteten die resultierenden Drucke mit Filtern, um den Kontrast zu erhöhen, verwendeten einen 3D-Drucker, um Abdrücke zu erstellen, und formten dann einen gefälschten Druck, der dieses Formular mit kostengünstigem Kleber füllte. Bei der Arbeit mit kapazitiven Sensoren mussten die Materialien auch Graphit und Aluminiumpulver enthalten, um die Leitfähigkeit zu erhöhen.
Analysten testeten die gefälschten Fingerabdrücke auf optischen, kapazitiven und Ultraschall-Fingerabdruckscannern, fanden jedoch keine signifikanten Unterschiede in Bezug auf die Sicherheit. Cisco Talos merkt jedoch an, dass sie die beste Leistung erzielt haben, indem sie Ultraschallsensoren angegriffen haben, die die neuesten sind und normalerweise direkt in das Gerätedisplay integriert sind.
Testergebnisse.
Der einfachste Weg, um mit gefälschten Fingerabdrücken zu betrügen, war das AICase-Schloss sowie die auf Android basierenden Smartphones Huawei Honor 7x und Samsung Note 9. Bei diesen Geräten waren Angriffe zu 100% erfolgreich.
Werbevideo:
Die Angriffe auf das iPhone 8, das MacBook Pro 2018 und das Samsung S10 waren mit einer Erfolgsquote von über 90% fast genauso erfolgreich.
Fünf Laptop-Modelle mit Windows 10 und zwei USB-Laufwerke (Verbatim Fingerprint Secure und Lexar Jumpdrive F35) zeigten die besten Ergebnisse: Sie konnten nicht mit einer Fälschung getäuscht werden.
So haben die Forscher bei Mobiltelefonen die Authentifizierung von Fingerabdrücken auf den meisten Geräten umgangen. Auf Laptops konnten wir 95% Erfolg erzielen (mit dem MacBook Pro war dies besonders einfach), aber es war überhaupt nicht möglich, den Schutz von Geräten mit Windows 10 an Bord mithilfe des Windows Hello-Frameworks zu umgehen.
Analysten schreiben, dass trotz der Tatsache, dass sie die biometrische Authentifizierung auf Windows-Computern und USB-Laufwerken nicht getäuscht haben, dies nicht bedeutet, dass sie so gut geschützt sind. Es braucht nur einen anderen Ansatz, um sie zu knacken. Es ist unwahrscheinlich, dass sie einem Angreifer mit einem guten Budget, vielen Ressourcen und einem professionellen Team widerstehen.
Während das Samsung A70 auch seine Widerstandsfähigkeit unter Beweis gestellt hat, erklären die Forscher, dass seine biometrische Authentifizierung einfach extrem schlecht funktioniert und häufig nicht einmal echte Fingerabdrücke erkennt, die im System registriert wurden.
Basierend auf den erzielten Ergebnissen kommen Experten zu dem Schluss, dass die Technologie der Fingerabdruckauthentifizierung noch nicht das Niveau erreicht hat, nach dem sie als zuverlässig und sicher angesehen werden kann. Tatsächlich schreiben die Forscher, dass die Authentifizierung von Smartphone-Fingerabdrücken seit 2013 schwächer geworden ist, als Apple TouchID für das iPhone 5 einführte und das System dann gehackt wurde.
Verfasser: Maria Nefedova