Група дослідників із Китаю та США описала потенційно новий вектор атаки на біометричні заходи безпеки — вразливість знайшли у звуках тертя пальців об екран. Ці звуки можуть видати зловмисниками Discord, Skype, WeChat та інші програми, які мають доступ до мікрофону.
Група дослідників із Китаю та США описала потенційно новий вектор атаки на біометричні заходи безпеки — вразливість знайшли у звуках тертя пальців об екран. Ці звуки можуть видати зловмисниками Discord, Skype, WeChat та інші програми, які мають доступ до мікрофону.
Робота дослідників має назву «PrintListener: Виявлення вразливості автентифікації за відбитками пальців через звук тертя пальців [PDF] пропонує побічну атаку на складну систему автоматичної ідентифікації за відбитками пальців (AFIS)», повідомляє Tom`s Hardware.
Атака використовує звукові характеристики руху пальця користувача по сенсорному екрану для вилучення особливостей візерунка відбитків пальців. Після тестування дослідники стверджують, що вони можуть успішно атакувати «до 27,9% часткових відбитків пальців і 9,3% повних відбитків пальців за п’ять спроб при найвищому рівні безпеки FAR [False Acceptance Rate], що становить 0,01%».
Це перша робота, яка використовує звуки, що виникають при проведенні пальцем по екрану, для отримання інформації про відбитки пальців.
У статті PrintListener йдеться про те, що «звуки тертя при проведенні пальцем можуть бути перехоплені зловмисниками в Інтернеті з великою ймовірністю». Джерелом звуків тертя пальців можуть бути такі популярні програми, як Discord, Skype, WeChat, FaceTime тощо. Будь-який чат, де користувачі необережно проводять пальцем по екрану, коли мікрофон пристрою працює. Звідси й назва атаки — PrintListener.
Для виявлення слабких звуків тертя пальців було розроблено алгоритм локалізації звуку тертя на основі спектрального аналізу. Інші алгоритми відсіювали зайвий шум та встановлювали патерни між доторками пальців та їх відбитками.
Теорія дослідників перевірялась в детальних експериментах «в реальних умовах, які довели, що вона може сприяти успішному проведенню часткових атак за відбитками пальців більш ніж в одному з чотирьох випадків, а повних атак — майже в одному з десяти випадків. Ці результати значно перевищують результати неавтоматизованих атак за допомогою словника відбитків пальців MasterPrint.
Повідомляється, що біометричний захист за відбитками пальців досить популярний і вважається надійним. За поточної динаміки, до 2032 року ринок автентифікації за відбитками пальців буде коштувати майже $100 млрд. Знаменитості вже почали ретельніше ставитися до того, щоб їхні відбитки не потрапляли в поле зору, і з особливою увагою ставляться до фотографій, на яких зображені деталі їхніх долонь.
