塔洛斯公司的研究人员制造了一种经常能骗过指纹锁的假指纹

两名安全研究人员使用3D打印机和织物胶水制造了一个假指纹,80%的情况下,这个假指纹骗过了身份验证传感器。其他关键因素是时间和耐心:创造一个成功的赝品需要50次尝试。

安全分析师Paul Rascagneres和Vitor Ventura在一份新报告中解释了他们的实验,“指纹克隆:神话还是现实?”这两位分析师就职于思科的安全情报和研究集团Talos。研究人员使用3D打印机创建了一个模型,然后用织物胶水重新创建了指纹。

测试的平均成功率约为80%,这意味着假指纹至少一次欺骗了笔记本电脑、手机和智能设备上的传感器。研究人员说,达到这个成功率是一项艰难而乏味的工作。

最大的挑战是为假指纹找到合适的尺寸;1%的指纹太小或太大,假指纹就不起作用。拉斯卡涅尔斯在实验中复制了自己的指纹。他说,最大的障碍是如何为假照片找到合适的尺寸。

他说:“你需要精确尺寸的传感器,而3D打印并不是为此设计的。”

参见:网络安全:让我们获得战术(免费PDF)

文图拉说,这项实验的目的是鼓励公司和个人在依赖指纹验证时三思。

他说:“保护普通人的安全没有问题,但对于记者或政客等特定用户,指纹是不推荐的。”

文图拉说,如果一个坏人想在一个人的手机上安装恶意软件,最大的障碍是解锁手机的时间。

他补充说,自2013年指纹认证首次推出以来,它并没有太大的发展。

他说:“如果说有什么不同的话,那就是它缩小了一点,因为现在的技术在它刚推出时是不可用的。”

在实验中,研究人员想要回答三个问题:

Rascagneres和文图拉也为这个项目设定了一个低预算,假设如果指纹可以用低成本的材料复制,那么同样的复制对于国家资助的、资金充足的行动者来说就很容易了。

根据实验结果,手机指纹认证与2013年首次被打破时相比已经减弱。研究人员在他们测试的三种传感器中没有发现明显的优势。

在用MacBook Pro测试假指纹时,研究人员在95%的测试中都成功解锁了这款笔记本电脑。他们还测试了5个Windows平台,每次打印都失败了。Rascagneres和Ventura写道,检测指纹有效性的比较算法存在于Windows操作系统中,并在所有平台上共享。

Rascagneres说:“在这个案例中,我们认为我们没有成功,因为与其他算法相比,微软的算法在指纹上检测的点数更多。”

Rascagneres说,在笔记本电脑上欺骗指纹扫描仪通常比在手机上更难。

他说:“对手机来说,解锁很复杂,但对笔记本电脑来说就不一样了,所以要比移动设备严格得多。”

该团队还测试了一个挂锁和两个usb加密的笔驱动器。在超过80%的情况下,锁式身份验证都被骗过了,但是这种伪造的指纹在逐字指纹安全版和Lexar Jumpdrive指纹F35版上从未出现过。

该团队测试了三种类型的传感器——电容式、光学式和超声波式。报告称,除了苹果公司(Apple)在2012年收购了AuthenTec后自己制造传感器外,大多数传感器都是由第三方公司开发,然后集成到设备中。

研究人员测试了这些设备:

塔洛斯实验分为收集和创造两个阶段。首先,研究人员使用三种技术收集目标指纹,然后创建一个模型。研究小组用模具铸造假指纹,然后用假指纹连接设备。

他们使用精度为25微米的3D UV LED打印机来制作模具。皮肤指纹脊宽约500微米,深约20-50微米。

在打印模具后,它必须在紫外线室中固化几分钟,使物体变得坚固。这个过程也缩小了模具,使它很难创建一个一致的大小为每个模具。

研究小组必须打印50多个模具,用它们制作一个假指纹,然后用一个指纹传感器比较结果和大小,以得到一个可靠的模具和一个有效的假指纹。

通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强您的组织的IT安全防御。星期二和星期四送货

Talos安全研究人员使用3D打印机创建了一个指纹模型,作为伪造假指纹实验的一部分。

这些传感器是最常见的,它们利用人体的自然电容来读取指纹。

这些传感器通过使用光源来读取与传感器接触的脊线的图像。

超声波指纹传感器发出超声波脉冲,其回波将被传感器读取。山脊和山谷将有不同的回声,允许传感器从指纹创建一个伪图像。

相关推荐