Группа исследователей из Китая и США описала потенциально новый вектор атаки на биометрические меры безопасности — уязвимость обнаружили в звуках трения пальцев об экране. Эти звуки могут быть изданы злоумышленниками Discord, Skype, WeChat и другие программы, имеющие доступ к микрофону.
Группа исследователей из Китая и США описала потенциально новый вектор атаки на биометрические меры безопасности — уязвимость обнаружили в звуках трения пальцев об экране. Эти звуки могут быть изданы злоумышленниками Discord, Skype, WeChat и другие программы, имеющие доступ к микрофону.
Работа исследователей называется «PrintListener: Выявление уязвимости аутентификации по отпечаткам пальцев из-за звука трения пальцев [PDF] предлагает побочную атаку на сложную систему автоматической идентификации по отпечаткам пальцев (AFIS)», сообщает Tom’s Hardware.
Атака использует звуковые характеристики движения пальца по сенсорному экрану для извлечения особенностей узора отпечатков пальцев. После тестирования исследователи утверждают, что они могут успешно атаковать до 27,9% частичных отпечатков пальцев и 9,3% полных отпечатков пальцев за пять попыток при наивысшем уровне безопасности FAR [False Acceptance Rate], что составляет 0,01%.
Это первая работа, которая использует звуки, возникающие при пальце по экрану, для получения информации об отпечатках пальцев.
В статье PrintListener говорится, что «звуки трения при проведении пальцем могут быть перехвачены злоумышленниками в Интернете с большой вероятностью». Источником звуков трения пальцев могут быть такие популярные программы, как Discord, Skype, WeChat, FaceTime и т. д. Любой чат, где пользователи неосторожно производят пальцем по экрану, когда микрофон устройства работает. Отсюда и название атаки — PrintListener.
Для обнаружения слабых звуков трения пальцев был разработан алгоритм локализации звука трения на основе спектрального анализа. Другие алгоритмы отсеивали лишний шум и устанавливали паттерны между прикосновениями пальцев и их отпечатками.
Теория исследователей проверялась в подробных экспериментах «в реальных условиях, доказавших, что она может способствовать успешному проведению частичных атак по отпечаткам пальцев более чем в одном из четырех случаев, а полных атак — почти в одном из десяти случаев. Эти результаты значительно превышают результаты неавтоматизированных атак с помощью словаря отпечатков пальцев MasterPrint.
Сообщается, что биометрическая защита по отпечаткам пальцев достаточно популярна и считается надежной. По текущей динамике, к 2032 году рынок аутентификации по отпечаткам пальцев будет стоить почти $100 млрд. Знаменитости уже стали более тщательно относиться к тому, чтобы их отпечатки не попадали в поле зрения, и с особым вниманием относятся к фотографиям, на которых изображены детали их ладоней.
