samsung fingerprint

Jak oszukać skaner odcisków palców w telefonie? Korzystając z „uniwersalnego klucza papilarnego”

Zabezpieczanie swoich danych metodami biometrycznymi zawsze niesie ze sobą pewne ryzyko błędu. W przypadku klasycznego hasła sprawa jest prosta: albo jest ono dokładne, albo nie. Z kolei na wszelkiego rodzaju metody wykorzystujące odciski palców, tęczówkę oka czy wygląd naszej twarzy, poszczególne technologie muszą brać pewną poprawkę, pozostawiać margines tolerancji dopuszczalnych odchyleń od pozostawionego wzorca. I ten margines wykorzystują uniwersalne klucze zabezpieczeń.

Powstał nowy sposób na oszukiwanie systemów zabezpieczeń wbudowanych w skanery linii papilarnych. Wykorzystuje nie tyle ich błędy, co elastyczne „widełki”, w których musi mieścić się dokładność odczytanego skanu odcisku palca. W ten sposób udało się stworzyć fałszywe uniwersalne klucze papilarne.

Te syntetyczne odciski palców, które badacze nazwali DeepMasterPrints, zostały stworzone przez karmienie sieci neuronowych zdjęciami prawdziwych odcisków palców tak długo, aż sztuczna inteligencja miała wystarczającą bazę wiedzy potrzebną do stworzenia własnego wzoru linii papilarnych.

Następnie obrazy odcisków palców były analizowane przez algorytmy przypominające te weryfikujące prawdziwość linii papilarnych w naszych smartfonach. Jednocześnie sieć neuronowa w subtelny sposób modyfikowała swój wzór na ich podstawie tak długo, aż uzyskano choć jeden pozytywny wynik odblokowujący urządzenie – nawet, jeśli bazowy szlaczek linii papilarnych nie odpowiadał temu utworzonemu przez SI.

Powtarzając te same operacje na dużych zbiorach danych, zespół DeppMasterPrints był w stanie opracować wzór odcisków palców, który ma wystarczającą liczbę elementów wspólnych dla linii papilarnych przeciętnej osoby, by oszukać skaner biometryczny. W ten sposób powstał uniwersalny klucz papilarny – wirtualny obraz odcisku palca, który otwiera większość drzwi opartych na czytniku odcisków palców w naszych smartfonach.

Co to znaczy „większość”?

To zależy, jak dokładny jest skaner, który chcemy oszukać. Każdy musi zaakceptować pewną liczbę nieprawidłowych odczytów (tzw. false positive) – sytuacji, w których obraz linii papilarnych nieodpowiadający bazowemu wzorowi zostanie określony jako prawdziwy i odblokowujący urządzenie. Bardzo tolerancyjny skaner pozwala sobie nawet na 1% nieprawidłowych odczytów przyznających dostęp do zawartości. DeepMasterPrints jest w stanie oszukać taki sprzęt w 77% przypadków.

Bardziej rygorystyczne skanery akceptujące tylko 0,1% false positives dają się zwieść uniwersalnemu kluczowi papilarnemu w 22% przypadków. Nawet te bardzo złożone, odrzucające 0,01% nieautoryzowanych wejść, dają takiej technologii szansę na powodzenie na poziomie 1%.

Czy to wystarczy, żeby całkowicie odrzucić koncepcję biometrii i powrócić do używania PIN-ów i złożonych haseł? Nie, skanery odcisków palców są zdecydowanie bardziej wygodne i równie bezpieczne, ale jak widać, mają swoje ułomności, których na razie nie przeskoczymy. Dużo zależy nie tylko od sposobu zabezpieczania danych, ale także jego złożoności. Im bardziej skomplikowane hasło, tym bardziej bezpieczne są chronione treści. Analogicznie – im dokładniejszy jest czytnik linii papilarnych, tym trudniej go oszukać.

W kontekście powszechności wykorzystania skanerów odcisków palców w codziennie używanej przez nas elektronice, liczymy na to, że z czasem będą one coraz bardziej dokładne, a nie tylko wystarczająco szybkie.

 

źródło: arxiv.org przez Android Police