Badanie: czujniki linii papilarnych w smartfonach można łatwo oszukać
Amerykańscy naukowcy z Uniwersytetu Nowojorskiego i Uniwersytetu Michigan uważają, że czujniki linii papilarnych w smartfonach można łatwo oszukać cyfrowo tworząc sztuczny odcisk uwzględniający charakterystyczne cechy ludzkich linii papilarnych.
Wyniki badania ogłosił amerykański Instytut Inżynierów Elektryków i Elektroników (IEEE). Naukowcy zastrzegają jednak, że nie prowadzili badań na istniejących na rynku smartfonach, a wyniki uzyskiwano dzięki symulacjom komputerowym.
Jak tłumaczy dziennik "New York Times", pełen odcisk linii papilarnych człowieka jest trudny do podrobienia. Jednak czytniki odcisków palców w nowoczesnych telefonach komórkowych i innych urządzeniach mobilnych odczytują tylko jego fragment. Urządzenia z systemami operacyjnymi Apple'a (iOS) lub Google'a (Android) tworzą z reguły 8-10 wizerunków palca, aby ułatwić jego dopasowanie. Wielu użytkowników skanuje więcej niż jeden palec - dodaje "NYT". Aby odblokować urządzenie wystarczy natomiast skan jednego odcisku palca, co powoduje, że łatwiej się do niego włamać.
- To tak jakby mieć 30 haseł, a haker musiałby dopasować tylko jedno - zwraca uwagę profesor informatyki Uniwersytetu Nowojorskiego Nasir Memon, który jest jednym z trzech twórców badania.
W jego ocenie tworząc rękawiczkę z odciskami zawierającymi uniwersalne cechy, można by odblokować 50 proc. iPhone'ów w ciągu pięciu prób, na jakie zezwala producent, przed koniecznością weryfikacji za pomocą numeru PIN. Tymczasem firma Apple twierdzi, że szansa na oszukanie ich systemu wynosi 1 do 50 tys. Rzecznik firmy Ryan James w rozmowie z "NYT" zapewniał, że Touch ID był testowany przez niezależne firmy i poddawany różnego typu atakom.
Google nie udzieliło komentarza w tej sprawie.
Komentując wyniki tego badania przedstawiciel władz USA Chris Boehnen zwrócił uwagę, że wskazują one na słabość systemu polegającego na skanowaniu jedynie części odcisku palca. Szef federalnego programu Odin, który zajmuje się bezpieczeństwem biometrycznym, podkreślił w rozmowie z "NYT", że niepokojącym jest, iż "można znaleźć przypadkowy telefon, którego bariera przeciwdziałania atakom jest dość niska". Jego zdaniem jednym z rozwiązań tego problemu jest wprowadzenie do nowych modeli większych czujników linii papilarnych, bądź też innych metod autoryzacji użytkownika. Dla przykładu nowy smartfon Samsunga Galaxy S8 może rozpoznawać twarz użytkownika lub odczytywać siatkówkę oka.
Jak przypomina "NYT", systemy weryfikacji użytkowników za pomocą odcisków palców są wykorzystywane m.in. do autoryzacji mobilnych transakcji płatniczych dokonywanych telefonami komórkowymi.
Skomentuj artykuł