Tudi prstni odtisi niso popolnoma varni

V filmih se pogosto hitro zatečejo k temu, da nekomu odžagajo roko, da bi prišli mimo skenerja prstnih odtisov. Poročilo ekipe Kraken Security Labs kaže, da bi bilo veliko lažje – in manj grozljivo – poustvariti prstni odtis z malo običajnega lepila za les.

Kraken ugotavlja, da je biometrična varnost vse pogosteje uporabljena, saj je najbolj priročna in uporabniku prijazna. Poslužujejo se je proizvajalci pametnih telefonov, pa tudi tablic in prenosnikov. Predvsem skenerji prstnih odtisov ponujajo priročen način za dostop do teh naprav brez vnosa gesla.

Poročilo pravi, da je skener prstnih odtisov mogoče “vdreti” tako, da uporabimo sliko prstnega odtisa uporabnika, ustvarimo negativ v Photoshopu, natisnemo dobljeno sliko in nato nanesemo nekaj lepila za les na imitirani prstni odtis, da ga lahko uporabimo za prevaro.

“Ta dobro znani napad smo lahko izvedli na večini naprav, ki jih je naša ekipa imela na voljo za testiranje,” je izjavilo podjetje Kraken v svojem poročilu. “Če bi bil to resničen napad, bi imeli dostop do skoraj vseh občutljivih informacij.”

Pri tem pa Kraken ni edino varnostno podjetje, ki se zaveda, da je lepilo mogoče uporabiti za preslepitev skenerja prstnih odtisov. Cisco Talos je že aprila 2020 objavil poglobljeno poročilo, ki je raziskalo več načinov – vključno s tem istim trikom z lepilom – kako lahko napadalec ponaredi prstni odtis uporabnika.

“Naši testi so pokazali, da smo v povprečju dosegli približno 80-odstotno stopnjo uspešnosti pri uporabi lažnih prstnih odtisov, kjer so bili senzorji vsaj enkrat uspešno zaobiti,” so zapisali pri Cisco Talos. “Doseganje te stopnje uspešnosti je bilo težko in dolgoročno. Odkrili smo več ovir in omejitev, povezanih s skaliranjem in fizikalnimi lastnostmi materiala. Kljub temu ta stopnja uspešnosti pomeni, da imamo zelo veliko verjetnost, da bomo odklenili katero koli od testiranih naprav še pred blokado in potrebo po vnostu PIN kode.”

Pri Cisco Talos so izjavili še, da večini ljudi ni treba skrbeti, da bi nekdo ustvaril kopijo njihovega prstnega odtisa za dostop do njihovih naprav, vendar ugotavljajo, da “oseba, ki je verjetno tarča dobro financiranega in motiviranega akterja, ne bi smela uporabljati preverjanja pristnosti prstnih odtisov.”