Лесно е да подведете скенера за пръстови отпечатъци на телефона си. Ето как трябва да го поправим.

В началото на миналата седмица настройвах сензори за пръстови отпечатъци на новия си iPhone. Тогава брат ми, @Prateek , излезе с идея да тества тези мобилни сензори за пръстови отпечатъци.

Тестът беше да сканира пръста му заедно с моя по време на настройка на пръстови отпечатъци. Знаете как тези устройства ви молят да повдигнете и след това да отпуснете пръста си няколко пъти, за да уловите всички възможни ъгли. Затова го направихме - сканира пръста му няколко пъти, когато телефонът очакваше да вдигна и да отпусна само пръста си.

За мое учудване успяхме да блъфираме телефона. Настройката завърши и сега и двамата можехме да използваме пръста си, за да отключим телефона. Ето как изглеждаха настройките - конфигуриран е само един пръст и двамата можем да отключим телефона.

Мисълта се прокрадна в мозъка ни: това някаква грешка ли е, или какво? Засега беше време за забавно упражнение - да го изпробвате с всички други телефони, които поддържат откриване на пръстови отпечатъци.

Затова започнахме с различни телефони с Android, няколко със запас ROM и други с персонализирани операционни системи от трети страни като Micromax, Lenovo и Xiaomi. Резултатът беше един и същ за всички. Всеки от нас може да използва пръста си, за да отключи същия телефон, докато е настроен само един пръст.

Първо, нека разберем как работят тези мобилни скенери за пръстови отпечатъци

Придържайки се към точката, зад сканирането на пръстови отпечатъци в мобилните телефони има две популярни и основни технологии.

Оптичен скенер - тази техника използва оптично изображение за заснемане на различни изображения на пръста ви. Един вид камера с висока прецизност и няколко светодиода вършат работата тук. След това софтуерът сравнява тези двуизмерни изображения с изображението, взето от сканирания пръст.

Тъй като това е по същество само изображение, което се сравнява, тези скенери са лесни за заблуда. Изображение на пръст, отпечатан с принтер с висока DPI, е достатъчно, за да заблуди този тип скенери.

Кондензаторен скенер - тук множество кондензатори улавят шаблона от сканираното изображение. Сложна електрическа верига отдолу улавя данните и се използва за сравняване на сканирания пръст.

Тази техника е далеч по-сигурна и е трудна за измама. Изображение за висока разделителна способност на пръст не може да се използва за отключване на телефона. Телефонът Samsung Galaxy S8 твърди, че използва тази техника.

Сега е време за дебата: правилно ли е или не?

Отначало, когато видите, че това се случва, можете да разберете, че се случва нещо необичайно. За да защитите скенера за пръстови отпечатъци, важни са следните компоненти:

  • Техника на сканиране - хардуер, използван за сканиране на пръста и извличане на данни / модели от него.
  • Съхранение - база данни, в която се съхраняват данните / моделът на пръстовия отпечатък.
  • Алгоритъм - използва се за съхраняване и сравняване на сканирания шаблон.

За цялостна сигурност записът на пръстов отпечатък е толкова важен, колкото и препращащата база данни за проверка. Изглежда недостатък и неефективност в начина на съхранение на пръстовите отпечатъци.

Разглеждайки случая по-горе, изглежда, че различни отпечатъци от пръстови отпечатъци, събрани по време на настройката, се съхраняват като независим набор от данни. Когато сканирате пръст, за да отключите устройството, сканирането се сравнява с масив от двоичното представяне на пръсти, които са били сканирани по време на настройката. Вероятно по този начин успяхме да измамим телефона, като сканирахме пръста на друг човек по време на настройката.

Изглежда, че има концептуален и основен проблем в това как системата в момента работи.

Не мога да претендирам за случай на употреба, при който това да доведе до пропуск в сигурността. Но тъй като адаптацията на удостоверяването въз основа на пръстови отпечатъци се увеличава бързо и използването му е надхвърлило само отключването на вашето устройство, има смисъл да се подобри технологията за преодоляване на пропастта.

И така, какво следва?

По време на настройката могат да се сравняват последователни сканирания на пръста, за да се гарантира, че всички записани сканирания са на един и същ пръст. Очевидно е да има някакъв процент припокриване между различни сканирания. Подобно нещо би спряло Prateek Dwivedi да сканира пръста си, когато се опитвах да настроя телефона. Това би осигурило начина на заснемане на пръстови отпечатъци по време на настройката.

Извличането може да се направи по-сигурно, ако не се сравнява сканирането за отключване на устройството само с едно от предварително съхранените сканирания. В идеалния случай сканирането ще се сравнява във висока степен с едно от съхранените изображения и ще се сравнява с всички други сканирания до известна степен. Вместо да разчитаме само на един оптимален мач, трябва да отбележим мача въз основа на сравнение от всички представяния. За удостоверяване трябва да се има предвид натрупващия се процент на сравнение.

Заключение

В заключение, както посочих в предишния си блог - „Биометрична идентификация и използване в банковите мобилни приложения:“

Биометричното удостоверяване все още не е достатъчно защитено. Напоследък наблюдаваме наклон и преминаване към използването на тези техники за плащания и финансови транзакции. Възходът на мобилните телефони и устройствата на IoT добави към адаптирането на техниките за биометрично удостоверяване. Време е да помислим повече за това как технологията за биометрично удостоверяване да стане по-сигурна и трудна за компрометиране.

Последвай ме по медиум - Никхил Дуиведи.

Дръжката ми в Twitter е - @Niks_Dwivedi