The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Техника использования 3D-принтера для обхода аутентификации по отпечаткам пальцев

09.04.2020 11:04

Исследователи из компании Cisco изучили возможность применения 3D-принтеров для создания макетов отпечатков пальцев, которые можно использовать для обмана биометрических систем аутентификации, применяемых на смартфонах, ноутбуках, USB-ключах и электронных замках различных производителей. Разработанные методы подделки тестировались на различных типах датчиков отпечатков пальца - ёмкостных, оптических и ультразвуковых.

Исследование показало, что применение макетов отпечатков пальцев, копирующих отпечаток жертвы, позволяет добиться разблокировки смартфонов в среднем в 80% попыток. Для создания клона отпечатка можно обойтись без спецсредств, доступных только спецслужбам, используя типовой 3D-принтер. В итоге, аутентификация по отпечаткам пальцев признана достаточной для защиты смартфона в случае потери или кражи устройства, но неэффективной при проведении целевых атак, при которых злоумышленник может определить слепок отпечатка жертвы (например, получив стакан, на котором остались отпечатки).

Протестированы три техники оцифровки отпечатков жертвы:

  • Создание пластилинового слепка. Например, когда жертва захвачена, находится без сознания или в состоянии опьянения.
  • Анализ отпечатка, оставленного на стеклянном стакане или бутылке. Атакующий может проследить за жертвой и использовать предмет, к которому было касание (в том числе восстановив полный отпечаток по частям).
  • Создание макета на основе данных от датчиков отпечатков пальцев. Например, данные могут быть получены при утечке баз охранных предприятий или таможни.

Анализ отпечатка на стекле производился через создание фотографии с высоким разрешением в RAW-формате, к которой применяются фильтры для повышения контраста и разворачивания скруглённых областей в плоскость. Метод на основе данных от датчика отпечатков оказался менее эффективным, так как предоставляемого датчиком разрешения было недостаточно и приходилось восполнять детали по нескольким снимкам. Эффективность метода на основе анализа отпечатка на стекле (синий на графике ниже) оказалась идентична или даже выше, чем при использовании прямого оттиска (оранжевый).

Наиболее стойкими оказались устройства Samsung A70, HP Pavilion x360 и Lenovo Yoga, которые полностью смогли противостоять атаке с использованием поддельного отпечатка. Менее стойкими стали Samsung note 9, Honor 7x, Aicase padlock, iPhone 8 и MacbookPro, которые удалось атаковать в 95% попыток.

Для подготовки объёмной модели для печати на 3D-принтере использовался пакет ZBrush. Изображение отпечатка было использовано как чёрно-белая альфа-кисть, при помощи которой был вытянут объёмный отпечаток. Созданный макет использовался для создания формы, для печати которой достаточно обычного 3D-принтера с разрешением 25 или 50 микрон (0.025 и 0.05 мм). Наибольшие проблемы возникли с вычислением размера формы, которая точно должна совпадать с размером пальца. В ходе экспериментов было забраковано около 50 заготовок, пока не был найден способ вычисления нужного размера.

Далее, при помощи распечатанной формы заливался макет пальца, в котором использовался более пластичный материал, не подходящий для прямой 3D-печати. Исследователи провели эксперименты с большим числом различным материалов, из которых наиболее эффективными оказались силиконовый и текстильный клеи. Для повышения эффективности работы с ёмкостными датчиками в клей добавлялся токопроводящий графитовый или алюминиевый порошок.





  1. Главная ссылка к новости (https://blog.talosintelligence...)
  2. OpenNews: Метод создания фиктивных отпечатков пальцев для разблокировки смартфонов
  3. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
  4. OpenNews: Опубликован исходный код системы для формирования слепков отпечатков пальцев FingerJetFX
  5. OpenNews: Представлена техника воссоздания речи по вибрации предметов на видеозаписи
  6. OpenNews: Атака на микрофоны систем голосового управления при помощи лазера
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52701-fingerprint
Ключевые слова: fingerprint, attack, 3d
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:44, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    А ещё можно отрезать, самое логичное и эффективное. Странно, что не протестировали.
     
     
  • 2.2, КО (?), 11:47, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Возни много.
    В принципе, почти все телефоны уже содержат необходимые отпечатки. Прям на корпусе. Стакан не нужен. :)
     
     
  • 3.4, Анпон (?), 11:52, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там качество отпечатков очень низкое.
     
     
  • 4.9, Total Anonimus (?), 12:24, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Полный отпечаток не нужен - его можно собрать в редакторе из сохранившихся частей .
     
     
  • 5.21, kai3341 (ok), 17:33, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Полный отпечаток не нужен - его можно собрать в редакторе из сохранившихся частей.

    На что будет затрачено всего лишь около сотни человекочасов

     
     
  • 6.23, Lex (??), 21:38, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему именно сотни ?
    Почему не двух сотен или одного десятка ?
     
  • 3.6, Аноним (1), 11:53, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется биометрическая аутентификация это вообще такое себе, можно использовать только как дополнительную меру. Ну там если отошёл на 3 минуты, а потом спрашивать уже нормальную. Или проверять незаметно, пока вводится пароль. Главное не подавать вида, что там проверка отпечатков.
     
     
  • 4.22, Аноним84701 (ok), 19:33, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне кажется биометрическая аутентификация это вообще такое себе, можно использовать только
    > как дополнительную меру.

    Вообще-то, довольно удобная штука для всяких su/sudo.

    Да и при наличии физ. доступа у атакующего есть (такая же теоретическая) возможность установить троян или хардварный кейлоггер -- получаем те же яйца, только в профиль.

     
     
  • 5.25, хотел спросить (?), 00:08, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    куда? к мамке припаяться? к клавиатуре?

    геморно...

    проще поставить маленькую видеокамеру над столом

     
  • 4.35, Аноним (-), 11:15, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Аутентификация, которая может быть совершена без воли субъекта и с несменяемым, пожизненным ID не должна существовать ни в каком виде.
     
  • 3.20, Аноним (20), 17:29, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > В принципе, почти все телефоны уже содержат необходимые отпечатки. Прям на корпусе. Стакан не нужен. :)

    Ах вот почему почти все современные смартфоны со стеклянным корпусом делают

     
  • 2.5, Аноним (5), 11:53, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >     Странно, что не протестировали.

    Пробовали, но на овцах и срок беременности при "печати" неинтересно долгий.

     
  • 2.29, wd (?), 10:48, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если есть возможность отрезать - не проще ли не отрезая приложить?
    ибо мертвый палец далеко не всегода работает, ибо тепло уже не то и прочая биометрия не канает
     
     
  • 3.30, Аноним (1), 11:03, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не отрезая в карман не положишь, неудобно же с собой носить. Вот и проверили бы. Заодно можно было бы оценить обработку различными составами, попробовать сделать кожаные перчатки и так далее. Чтобы было тепло, можно нагреть электродами или в микроволновке, тоже можно проверить.
     

  • 1.3, Аномномномнимус (?), 11:52, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется на 14:02 чувак под доской уже сам будет готов всё разлочить.
     
  • 1.7, Аноним (7), 12:09, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Например, когда жертва захвачена, находится без сознания или в состоянии <...>

    ...в состоянии глубокой интеграции с паяльником.

     
  • 1.8, Total Anonimus (?), 12:22, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Подделка отпечатков пальцев описывалась ещё два десятилетия назад . Без всяких d3принтеров , с помощью набора радиолюбителя для печатных плат , латекса и пк с фоторедактором . И тестирование тогда же было , с понятными результатами . :) Новое поколение не читает отчёты предыдущих .
     
     
  • 2.10, rshadow (ok), 12:27, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Это все известно. На 3д принтере это модно, стильно и молодежно!
     
     
  • 3.11, Total Anonimus (?), 12:36, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Одно дело оборудование , которое не так легко достать , совсем другое легкодоступные и не вызывающие подозрений средства , с которыми управится любой желающий .
     
     
  • 4.12, Аноним (12), 12:43, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Фоторедакторами молодое поколение не умеют пользоваться они только телефонами умеют.
     
  • 2.13, Аноним (13), 12:48, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сканеры тогда такие же были?
     
     
  • 3.19, YetAnotherOnanym (ok), 16:53, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Сказано же - "с помощью набора радиолюбителя". В него, между прочим, входит паяльник.
     
  • 2.18, имя_ (?), 16:02, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Новое поколение не читает отчёты предыдущих

    Когда появляются новые средства, тогда их возможности и тестируются. Ведь не говорится же, что можно только с помощью 3дпринтера воспроизводить.

     

  • 1.14, Аноним (14), 12:51, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >обычного 3D-принтера с разрешением 25 или 50 микрон
     
     
  • 2.15, Аноним (12), 12:57, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обычные показаиели https://3dpt.ru/product/formlabs-form-2 не так уж он и дорого стоит.
     
     
  • 3.16, Аноним (14), 13:15, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычные это FDM.
     
  • 3.24, Lex (??), 21:43, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык это фотополимеры, что довольно сложно назвать «обычной 3Д печатью», т.к она уже не обычная, а специализированная - повышенной детализации, иначе никто бы с фотополимерами не заморачивался
     

  • 1.17, имя_ (?), 15:06, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вы уточните, что "обычный" 3d принтер - это на основе фотолитографии, а не на основе выдавливания прутка.
     
  • 1.26, Аноним (26), 00:36, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А70 из результатов можно исключить, его и обычным пальцем только в 2 случаях из 10 разблокировать получается (к слову, после обновления до Android 10 ситуация стала лучше)
     
     
  • 2.28, iPony129412 (?), 08:13, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кстати да, не хватает колонки процентов срабатывания при этаком небрежном-обыденном скане пальца.
     
  • 2.32, Нанобот (ok), 13:00, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а оригинале об этом тоже писали
     

  • 1.27, Аноним (27), 07:22, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думаю можно и с лазерной вырезкой на соответствующем материале сделать копию отпечатка. получится почти тоже самое не печатью, а вырезкой
     
  • 1.31, targitaj (?), 12:07, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    По отпечатку пальца проводят идентификацию, а не аутентификацию.
     
     
  • 2.33, Нанобот (ok), 13:02, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    специалисты cisco talos считают иначе. и я склонен доверять им
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру