По информации издания Abacus, команда специалистов по информационной безопасности X-Lab из китайской компании Tencent Security провела 24 октября 2019 года на мероприятии GeekPwn 2019 в Шанхае двадцатиминутную демонстрацию процесса клонирования отпечатка пальца владельца телефона, который был взят со стакана с водой. С помощью недорого оборудования и программного обеспечения была напечатана физическая копия структуры отпечатков пальца, с помощью которой были разблокированы три смартфона и два биометрических замка со встроенными сканерами отпечатков пальцев, все устройства были разных производителей.

В начале своего выступления, сотрудник X-Lab попросил нескольких добровольцев из зала дотронуться до стакана с водой. Затем глава команды Чэнь Юй (Chen Yu) сфотографировал своим смартфоном отпечатки пальцев со стакана и обработал их в специальном мобильном приложении, которое с высокой точностью сканирует элементы отпечатка и создает их электронную копию. Это приложение, разработанное Tencent Security, может полноценно воссоздать отпечаток пальца даже в том случае, когда его небольшая часть отсутствует или фрагменты отпечатка разнесены по нескольким предметам.

Затем на отдельном гравировочном комплекте оборудования, которое стоит около $140 (примерно девять тысяч рублей), были напечатаны уже физические копии отпечатков. Немного позже с их помощью были разблокированы несколько смартфонов и других устройств, имеющих в своем составе сканеры отпечатков пальцев. Перед этим реальные отпечатки пальцев добровольцев были внесены в эти устройства.

«Клон отпечатка создается полностью идентичным как у владельца, свойства материала, из которого он создан, такие же как у кожи человека — он имеет определенную проводимость и удельное сопротивление, позволяет проникать ультразвуковым волнам,» — пояснял Чэнь Юй во время создания физической копии отпечатка

На весь процесс демонстрации создания клона отпечатка и взлома смартфона у Чэнь Юй ушло около двадцати минут, часть из которых он потратил на объяснение своих действий. Все необходимое ему оборудование умещалось на одном столе и не занимало много места.

«Для организации и совершения полной процедуры такой атаки нужно простое оборудование, смартфон и одно приложение», — заявил Чен Юй после демонстрации. Однако, в компании Tencent Security не раскрыли всех деталей и использованной ими методики, но уточнили, что так успешно можно взломать ультразвуковой датчик отпечатков пальцев, а также и другие широко используемые в смартфонах сканеры — емкостные и оптические.

В заключении Чен Юй сказал, что пользователям не нужно чрезмерно паниковать из-за всего этого. Да, их технология может взламывать несколько типов систем распознавания отпечатков пальцев, но для ее использования злоумышленнику нужно получить отпечатки пальцев и смартфон жертвы. Так что глава команды X-Lab дал совет всем пользователям выработать привычку не оставлять в людным местах отпечатки своих пальцев или, по возможности, максимально смазывать их после использования стаканов, а также следить за своими гаджетами.

Производители элементов систем безопасности также усовершенствуют свои решения. Например, разработанные Qualcomm новые ультразвуковые датчики отпечатков пальцев на данный момент являются одними из самых надежный, они используют отражение звуковых волн от кончика пальца, чтобы создать его виртуальное трехмерное изображение, а после этого процесса уже работать с этими данными. Такие датчики обмануть простым физическим клонированием уже не получится, их уже начали использовать в новых смартфонах многие компании-производители гаджетов.

Совсем недавно компания Samsung даже выпустила специальное обновление для устранения проблемы с датчиком отпечатков пальцев в своих новых устройствах, так как оказалось, что недорогая защитная пленка на гелевой основе может мешать корректной работе ультразвукового дактилоскопического датчика. В результате ее использования можно было просто разблокировать смартфон с помощью нажатий на датчик любым пальцем, а не только тем, который был зарегистрированным для разблокировки.

Комментарии (10)


  1. mamont80
    31.10.2019 09:28

    А графический пароль при удачном стечении обстоятельств можно увидеть на стекле экрана по смазам, без спец оборудования. Да и буквенный тоже, только последовательность ввода надо будет подобрать. Так что протирайте ещё и сам смартфон, если используете такое. А в обще странно использовать в качестве надёжного пароля «вещь» (отпечаток) который мы разбрасываем повсеместно. Это было сразу понятно. Только в качестве защиты от непрофессионалов.


    1. Gurturok
      31.10.2019 09:32

      Да и буквенный тоже, только последовательность ввода надо будет подобрать.

      На ведроидах есть настройка что-бы при каждом вводе числового пароля цифры на экране перемешивались


    1. riserise
      31.10.2019 12:10

      C буквенным, мессенджеры создают отличный шум, клава у мессенджеров же появляется на том же месте что и клава для пароля.


  1. just86
    31.10.2019 10:38

    Можно разблокировку к отпечатку носа привязать или не носа… В общем, к отпечатку того, чем не лапаешь предметы


    1. REPISOT
      31.10.2019 11:02
      +2

      Где-то была байка, что чувак при настройке фейс-id показал совсем не лицо.


    1. Mykola_Von_Raybokobylko
      31.10.2019 11:16
      +1

      Есть более примитивная уловка. Если все пальцы в наличии, то использовать отпечаток пальца от менее очевидного, например от мизинца.


      1. just86
        31.10.2019 11:39
        +1

        А вы когда стакан в руку берете — мизинцем не прикасаетесь?


        1. namikiri
          31.10.2019 11:52
          +1

          Тонко и элегантно, во благо безопасности.


          1. yarkov
            31.10.2019 12:10
            +1

            image


      1. YMA
        31.10.2019 12:13

        Так вот зачем манерные барышни, держа в руках чашечку кофею, оттопыривали мизинец. :)