Команда специалистов по компьютерной безопасности при финансовой поддержке DARPA (Агентства по перспективным оборонным научно-исследовательским разработкам США) в новой исследовательской работе привлекает внимание к ненадёжности методов идентификации пользователя по его профилю работы с сенсорным экраном устройства. Построенный командой робот на базе Lego Mindstorms сумел заставить различные системы аутентификации на смартфоне поверить, что телефоном пользуется его владелец.
В последнее время набирает популярность разработка систем аутентификации пользователей на основе анализа жестов. Идея в том, чтобы собрать данные об использовании сенсорного экрана пользователем, а затем на этой основе построить профиль движений пользователя и постоянно сверять его с теми движениями, которые используются при работе со смартфоном. Считается, что набор данных о движениях (начало и конец свайпа, продолжительность, и т.п.) уникальны для каждого человека.
Авторы исследования отмечают, что такую систему следует использовать лишь как вспомогательную – они показали, что два существующих способа её обхода реализуются при помощи несложного робота. Первый заключается в обработке статистики использования устройств разными пользователями с целью построения некоего универсального усреднённого профиля использования сенсорного экрана. Второй предполагает кражу хакером информации об использовании смартфона конкретным пользователем, с целью выдать себя за него.
В работе, озаглавленной «роботизированное ограбление на сенсорном экране», исследователи изучали оба этих метода. Для автоматизации процесса ими был построен робот из Lego Mindstorms, на манипуляторе которого был укреплён муляж пальца, сделанный из аналога пластилина "Play-Doh".
Данные о жестах были собраны у 41 человека, участвовавших в опыте, которые по заданию испытателей совершали несколько естественных для системы Android действий, накапливая базу жестов (всего каждый воспроизвёл по 28 различных движений).
Затем исследователи проверяли описанные подходы на семи различных алгоритмах распознавания пользователей через жесты. Первый подход, с использованием усреднённых жестов, сумел обмануть наименее надёжный алгоритм в 70 процентах случаев – в этих случаях алгоритм ошибочно определял, что устройством пользуется человек, владелец смартфона.
Когда же во второй фазе эксперимента учёные использовали данные, полученные от конкретного пользователя, роботу, что неудивительно, удалось обмануть алгоритмы распознавания уже в 90% случаев.
Авторы исследования заключили, что, поскольку атаки подобного рода легко проводить, используя свободно доступное оборудование, то компаниям, занимающимся защитой, необходимо не только включить в процедуру проверки надёжности защиты испытания с подобными роботами, но и поработать над усовершенствованием самой защиты в целом.
Комментарии (7)
lorc
11.05.2016 15:24Ну я так понимаю, эти все технологии нужны просто для того, что бы никто чужой не тыкал в ваш телефон. Т.е. они спасут от любознательного коллеги/жены/ребенка. А если нужна реальная безопасность — то только пароль, только хардкор. Вроде бы очевидная вешь, нет?
Можно ещё вспомнить фишки из пятого андроида, который предлагает разблокироваться от присутствия заданого Bluetooth устройства или находясь в определенном месте (дома). Очевидно, что если включить эту функцию, то телефон ломается не просто легко, а очень легко. Но такова плата за удобство каждодневного использования.
AntonSor
Надо ещё фронтальной камерой проверять, видно ли лицо
bak
Очень надежный способ. Повесить на робота фотографию владельца устройства никто не догадается.
GennPen
На Андроиде для разблокировки по лицу требуется моргнуть 1-2 раза для предотвращения подсовывания фотографии.
Можно снимать одновременно с фронтальной и тыльной камерой и проверять синхронизацию изображений чтобы предотвратить подсовывание «моргающего» видео.
Еще по датчикам акселерометра/гироскопа можно определять: держится аппарат в руках или лежит на столе(жестко закреплен), если лежит на столе — попросить взять в руки.
Можно разные способы придумать для проверки: используется аппарат роботом или человеком.
Jamato
Что в конце концов приведёт к созданию самой совершенной роботизированной верхней половины человека в мире, созданной исключительно для взлома смартфонов.
RedStone
А если я хочу просто смартфоном пользоваться, то мне куда?
LynXzp
Один уже не догадался.