Wie man einen Fingerabdrucksensor täuscht

iPhone 5S Touch ID Fingerabdruck Hack: So klappt es schnell und günstig (November 2018).

Anonim

Vier Techniken zum Vereiteln von vier Arten von Fingerabdruck-Scannern

Fingerabdruck-Erkennungssysteme gehören zu den am weitesten verbreiteten Biometrieverfahren, die auf Geräten wie Mobiltelefonen und Laptops zu finden sind. Wie bei allen nicht-biometrischen Systemen sind Fingerabdrucksensoren jedoch mit Schwachstellen behaftet. Dies lässt viele Möglichkeiten, den Fingerabdrucksensor in eine falsche Erkennung zu verwickeln.

Biometrische Daten im Allgemeinen und Fingerabdrücke sind ein zunehmend beliebter Ansatz, um der Sicherheit ein gewisses Maß an Sicherheit zu verleihen. Im Gegensatz zu Kennwörtern muss der Benutzer bei einer biometrischen Authentifizierung weder einen perfekten Speicher noch eine schriftliche Aufzeichnung haben, noch kann er verloren gehen oder verloren gehen. Aber die vielen Möglichkeiten, wie solche Sensoren getäuscht werden können, bedeuten, dass sie bestenfalls nur zufällige Sicherheit bieten können. Zu verstehen, wie die Sensoren funktionieren, enthüllt die Geschichte, wie man sie täuschen kann.

Vier Arten von Fingerabdruck-Sensor-Technologie werden für Verbraucher-und kommerzielle Elektronik verwendet: optische, kapazitive, thermische und Ultraschall. Sowohl Komponenten- als auch Modul-basierte Geräte sind in verschiedenen Größen und Auflösungen verfügbar. Einige Module sind so konzipiert, dass sie eingebaut werden können, einige sind mit USB-Anschluss ausgestattet, andere sind Bluetooth oder kabellos. Die Methoden zum Erfassen von Fingerabdruckbildern umfassen je nach Gerät Berührung, Streichen und Rollen. Systeme vergleichen dann das aufgenommene Bild mit einem zuvor "registrierten" Bild, um festzustellen, ob sie übereinstimmen.

Ein optischer Scanner, wie der Synaptics FS9100, erzeugt ein hochauflösendes Bild der Grate und Täler des Fingers und in einigen Fällen der Venenmuster unter der Haut. Sowohl sichtbares Licht als auch IR-Sensoren können beteiligt sein.

Ein kapazitiver Fingerabdruck-Scanner, wie der Credence ID One, erzeugt das Äquivalent eines Bildes, indem er die Spannungsänderungen misst, die ein Finger verursacht, wenn er über ein Array von elektrischen Sensoren gelegt wird. Rippen haben eine höhere Kapazität als Täler und erzeugen somit ein größeres Signal, da die Haut dort näher an der Sensoroberfläche liegt als im Tal. Einige Sensoren legen eine kleine Spannung an den Finger an, um ein besseres Bild zu erhalten.

Thermische Sensoren, wie die Geräte von Next Biometrics, verwenden eine Reihe von thermoelektrischen Generatoren. Wenn der Finger die Sensoroberfläche berührt, übertragen die Rippen mehr Kopf als die Täler, was zu einem größeren Signal führt. Wie bei der Kapazität und den optischen Sensoren erzeugt das Array von Sensoren das Äquivalent eines Bildes der Oberfläche des Fingers.

Ultraschall-Fingerprint-Sensoren sind die neueste bildgebende Technologie. InvenSense und GLOBAL FOUNDRIES arbeiten gemeinsam an der Entwicklung dieser Technologie und Qualcomm hat bereits 2015 einen Ultraschallsensor angekündigt. Mithilfe der Intensität des reflektierten Ultraschalls kann der Sensor eine 3D-Karte der Fingeroberfläche erstellen. Im Gegensatz zu thermischen, kapazitiven und optischen Sensoren, die nur 2D-Bilder erfassen, arbeitet der Ultraschall-Fingerabdrucksensor durch Metall-, Glas- und andere feste Oberflächen. Dies hilft dem Sensor, einen eingeschriebenen Finger leichter zu erkennen, selbst wenn er schmutzig oder nass ist.

Diese Sensoren unterliegen jedoch jeder Ausbeutung. Bei einem optischen Sensor kann etwas so einfaches wie eine Fotografie eines eingeschriebenen Fingers zu einer falschen Erkennung führen. Das Bild muss einen hohen Kontrast haben und eine Auflösung haben, die der des Sensors entspricht (typischerweise 300 bis 500 Pixel pro Zoll), aber diese sind relativ einfach zu erfassen und zu reproduzieren. Das Abheben eines Fingerabdrucks von einer anderen Oberfläche oder das Fotografieren der freiliegenden Fingerspitzen einer Person mit einer Megapixel-Kamera kann die Grundlage für ein geeignetes Bild bilden.

Die anderen Scannertypen können nicht durch ein einfaches 2D-Bild getäuscht werden, aber sie können oft durch ein 3D-Bild täuschen. Wie bei der optischen Fälschung benötigen Sie zuerst ein Bild des zu fälschenden Fingerabdrucks. Sobald Sie dieses Bild haben, gibt es jedoch viele Möglichkeiten, eine 3D-Kopie zu erstellen. Das Mapping des Bildes in ein 3D-Modell ermöglicht die Verwendung eines 3D-Druckers zum Erstellen der Fälschung. Ein erfahrener Künstler kann einen formen. Oder Techniken wie jene, die beim Erstellen einer PCB verwendet werden, können verwendet werden, um einen gefälschten Fingerabdruck in ein Board zu ätzen.

Im Gegensatz zum optischen Bild bedeutet jedoch die Art der Signale, die bei diesen anderen Scannertechnologien beteiligt sind, dass mehr als nur das Muster von Graten und Tälern repliziert werden muss. Die elektrischen, thermischen oder akustischen Eigenschaften müssen ebenfalls ausreichend nachgeahmt werden. Dies erfordert typischerweise die Verwendung des Fingerabdruckbildes (oder besser noch des ursprünglichen Fingers), um eine Negativform zu erzeugen und eine Fälschung aus geeignetem Material zu werfen. Forscher haben herausgefunden, dass Dinge wie Silikon, Knetmasse und sogar das Material, das zur Herstellung von Gummibärchen verwendet wurde, verwendet wurden, um Scanner zu besiegen. Kein Material scheint auf allen Scannern zu funktionieren, aber alle Scanner haben sich bisher als anfällig für mindestens ein Material erwiesen.

Anbieter und Forscher versuchen jedoch aktiv, diese Sicherheitsanfälligkeiten zu reduzieren. Ein Ansatz, den sie verfolgen, besteht darin, sowohl die Genauigkeit des präsentierten Fingerabdrucks als auch dessen "Lebendigkeit" in die Bewertung einzubeziehen. Lebende Finger haben subtile Merkmale wie Temperatur und Puls, die mit einem statischen Modell schwer zu reproduzieren sind. Eine falsche Fingerspitzenauflage (wie ein Fingerhut) an einem lebenden Finger könnte jedoch einige dieser Techniken besiegen.

Und wenn der Sensor nicht täuschen kann, vielleicht die Datenbank für den Vergleich verwendet werden kann, wenn die Biometrie-Datenbank nicht ordnungsgemäß verschlüsselt ist. Technisch versierte Hacker können eine biometrische Vorlage aus der Sensordatenbank abrufen, böswillig die digitalen Codes in der Vorlage ändern, einen Fingerabdruck aus der Vorlage rekonstruieren und die geänderte Vorlage an die Datenbank zurückgeben. Dies kann dann eine Erkennung ermöglichen, ohne einen gefälschten Fingerabdruck auf dem Sensor zu benötigen.

Eine bessere Lösung wäre also, neue Technologien zu entwickeln, die Hackerangriffe gegen jede Art von Fingerabdrucksensoren erkennen. Laut Chris Boehnen, Senior Programm Manager bei der Intelligence Advanced Research Activity (IARPA), soll das Odin-Programm, das Anfang März 2017 gestartet wird, genau solche Technologien entwickeln. Vier Hauptentwickler werden zusammenarbeiten, um Erkennungstechnologien zu entwickeln, die "Präsentations" -Angriffe auf biometrische Geräte wie die hier beschriebenen erfassen.

In der Zwischenzeit sollten diejenigen, die planen, die Fingerabdruck-Erkennung zu verwenden, um eine einfache Methode für den sicheren Zugriff auf ihre Geräte und Daten bereitzustellen, aufpassen. Die Anzahl der Sicherheitsanfälligkeiten, die Sensoren aufweisen, bedeutet, dass Fingerabdrücke allein möglicherweise kein ausreichend hohes Sicherheitsniveau bieten.

Von Judith Myerson