Принято считать, что идентификация пользователя по отпечаткам пальцев надежнее, чем традиционные пароли. Но, с другой стороны, если пароль узнают злоумышленники, его всегда можно поменять. Если же хакеры украдут ваши отпечатки пальцев, вы окажетесь в тупике.
В докладе, представленном на хакерской конференции Chaos Communication Congress, ежегодно проходящей в Германии, был продемонстрирован способ подделать отпечатки пальцев, используя только несколько фотографий высокого разрешения.
Хакер Ян Крисслер, известный под псевдонимом Starbug, продемонстрировал работу своего метода на примере фотографий немецкого министра обороны Урсулы ван дер Ляйен.
Для применения метода Крисслеру понадобилась снятая в октябре на открытой конференции фотография большого пальца министра, которая была сделана с трех метров на 200-мм объектив, а также еще несколько снимков, позволяющих определить основные физические параметры пальца.
В дальнейшем хакер использовал коммерческую программу VeriFinger для создания на основе фотографий копии отпечатка пальца — полученное таким способом изображение в дальнейшем можно нанести на искусственный палец.
Крисслер демонстрировал ненадежность современных биометрических паролей и раньше: осенью 2013 года, всего через сутки после выхода iPhone 5S с сенсором TouchID, он дублировал отпечаток пальца пользователя гаджета, использовав клей для дерева и графен. Этот отпечаток он брал непосредственно с самого смартфона, после чего использовал его в создании «дубликата» пальца. При помощи этого фальшивого пальца в дальнейшем можно было снять блокировку с iPhone.
Однако, в отличие от прошлой демонстрации, в этот раз не понадобился доступ к смартфону хозяина отпечатка пальца. Да и сам смартфон нужен, только чтобы приложить к нему фальшивку.
«После этого доклада политики, наверное, начнут надевать перчатки во время публичных выступлений», — пошутил Крисслер.
На Chaos Communication Congress был представлен еще один доклад, демонстрирующий неожиданные возможности для взлома аккаунтов, также связанные с фотографией.
Суть этого метода проста: хакер получает доступ к фронтальной камере смартфона, после чего он может определить пароль, который набирает на экранной клавиатуре пользователь, по отражению экрана в его глазах.
Несмотря на то что описание этого метода взлома звучит как пассаж из научно-фантастического романа, угроза вполне реальна: фронтальные камеры на большинстве современных смартфонов достаточно мощны для того, чтобы делать настолько четкие снимки.
Если в 2013 году для того, чтобы обмануть сенсор, хакеру был необходим физический доступ к iPhone, на котором остались отпечатки пальцев владельца, теперь без этого можно обойтись: гаджет необходим только в самый последний момент — для снятия с него блокировки.
Использование биометрических методов защиты в iPhone приводило к случаям, которые принято относить к разряду «и смех, и грех»: чтобы получить доступ к переписке своих мужей, жены, подозревавшие их в измене, прикладывали к смартфону палец своих спящих супругов.
Эксперты отмечают, что растущее число взломов биометрической идентификации демонстрирует ненадежность этого метода и пользователям стоит пересмотреть свое отношение к подобному способу аутентификации. Такую информацию, как отпечатки пальцев, можно использовать вместо имени пользователя как общеизвестный идентификатор, к которому для входа в сервис надо привязать пароль.