Одним из главных нововведений с запуском смартфона Samsung Galaxy S10 стал абсолютно новый сканер отпечатков пальцев «на дисплее» для моделей S10 и S10 +. Это было не просто удобство встроенного сканера в экран, который выдвигал Samsung, а дополнительная безопасность, обеспечиваемая ультразвуковым датчиком отпечатков пальцев, а не традиционным оптическим считывателем. Недостаток безопасности в Датчик отпечатков пальцев S10 можно обойти, просто получив дублированный отпечаток 3D отпечатка пальца владельца мобильного телефона.
Ультразвуковой сканер отпечатков пальцев поставляется с моделями S10 и S10 +, он обеспечивает дополнительную безопасность и захватывает 3D-изображение, когда традиционные сканеры безопасности фиксируют только 2D-изображение.
Samsung утверждает, что это не позволит никому скомпрометировать этот смартфон, если у него есть 3D-карта вашего отпечатка пальца. Но теперь исследователь доказал, что сканер отпечатков пальцев можно одурачить, используя отпечатки пальцев с 3D-отпечатками.
Как работает ультразвуковой отпечаток пальца?
Отличие от ультразвукового сканера отпечатков пальцев в смартфонах Galaxy S10 и S10 + по сравнению с более традиционными емкостными сканерами заключается в том, что он может захватывать 3D-изображение, а не 2D-изображение. Используя очень высокочастотные ультразвуковые звуковые волны, сканер может нанести отпечаток пальца на удивительные детали. Он включает в себя такие вещи, как ребра и поры, а также просто «плоские» узоры, которые мы привыкли видеть. Он делает это, передавая ультразвуковой импульс на ваш палец, а затем анализируя давление импульса, который отскакивает от него.
Это будет отличаться для всех, поскольку каждый отпечаток пальца будет поглощать различное количество волнового давления, из-за отсутствия более простого способа описания процесса. И так будет создана уникальная 3D карта. Карта, которая фиксирует данные глубины в разных точках на сканере, что делает полученную карту очень детальной во всех измерениях. Все идет нормально. Итак, что пошло не так? Посмотрим, как взломали датчик отпечатков пальцев Galaxy S10.
Как взломали датчик отпечатков пальцев Galaxy S10?
Пользователь по имени darkshark опубликовал это видео, объясняющее, как он обманул датчик отпечатков пальцев Galaxy S10, чтобы получить доступ к телефону.
Он сделал фотографию своего отпечатка пальца со стороны бокала с помощью своего смартфона. Затем он использует Photoshop, чтобы удалить области и оставить только отпечатки пальцев.
Затем, чтобы создать 3D-модель отпечатка пальца, он импортировал изображение в программное обеспечение 3DS Max, чтобы создать 3D-модель, и распечатал ее на куске смолы с помощью ЖК-принтера AnyCubic Photon.
В результате получился квадратный кусок смолы, содержащий 3D-модель отпечатка пальца, которая успешно открыла Samsung Galaxy S10.
Для того, чтобы выполнить атаку, все, что вам нужно, это иметь физический доступ к телефону и отпечаток пальца владельца. Сценарий атаки создает много проблем безопасности, если кто-то украл телефон, он может разблокировать устройство, так как отпечатки пальцев уже присутствуют.
“Поскольку большинство банковских приложений требуют только аутентификации по отпечатку пальца, вся информация может быть украдена, а деньги можно потратить менее чем за 15 минут, если телефон защищен только по отпечатку пальца”, – говорит Даркшарк.
Должен ли я прекратить использование моего отпечатка пальца?
Нет, это не рекомендуется. Всегда будет компромисс между удобством и безопасностью, поэтому большинство людей не используют ПИН-код или пароль. Оба метода аутентификации, как правило, считаются более безопасными, чем биометрия отпечатков пальцев большинством экспертов по безопасности. Но и то и другое доставляет больше хлопот с точки зрения запоминания и ввода кода. Вот почему многие люди постоянно разблокируют свои телефоны, не требуя такой аутентификации. Биометрические данные, такие как распознавание лиц и отпечатков пальцев, преодолевают это, будучи «достаточно безопасными» для большинства людей, не добавляя неудобств для пользователя.
«Все движение биометрической аутентификации на потребительском уровне электроники никогда не будет очень безопасным», – соглашается Иан Торнтон-Трамп, глава по кибербезопасности в AmTrust Europe. Я, конечно, всегда рекомендую устройство с защитой от отпечатков пальцев без защиты.
На самом деле, даже сам darkshark9 говорит, что ультразвуковой датчик отпечатков пальцев S10, вероятно, безопаснее, чем оптические или емкостные датчики других смартфонов. Он добавил, что оптические датчики можно обмануть простым сканированием и распечаткой отпечатка пальца на бумаге, а ультразвуковой – нет. Здесь следует отметить, что датчик отпечатков пальцев, безусловно, более безопасен, чем распознавание лиц. Потому что распознавание лица может быть побито видео владельца, размещенного перед смартфоном.
Каковы риски получения взлома на S10 Датчик отпечатков пальцев?
Ну, это действительно зависит от того, кто вы, какие данные на вашем телефоне и насколько сильно кто-то хочет получить к нему доступ. В то время как darkshark9 утверждает, что «ничто не мешает мне украсть ваши отпечатки пальцев без вашего ведома», и далее, что «если я украду чей-то телефон, его отпечатки пальцев уже на нем», то правда заключается в том, что для этого потребуется идеальное выравнивание обстоятельств.
Для некоторых очень известных людей риск такого сценария атаки действительно существует. Несомненно, если бы кто-то украл ваш телефон, он теоретически мог бы получить доступ не только к вашим личным данным, но и к вашему банковскому счету, поскольку большинство из них теперь используют идентификацию отпечатка пальца для аутентификации пользователя в приложении. Это предполагает, что у человека, который его украл, также есть 3D-принтер и технические навыки для создания отпечатка клона, а также желание сделать это, что вполне является предположением.
Угроза жизнеспособности датчика отпечатков пальцев Samsung
В сообщении о сканере Samsung говорит, что «с новой технологией ультразвуковой идентификации отпечатков пальцев нет никаких компромиссов! но в нем также упоминается, что вам не нужно жертвовать пользовательским интерфейсом ради безопасности ».
В отличие от этого, в том же сообщении Samsung также утверждает, что использует «алгоритм машинного обучения, помогающий обнаружить различия между реальными отпечатками пальцев и поддельными 3D-репликами».
Но метод, описанный darkshark, ставит под сомнение жизнеспособность ультразвукового сканера отпечатков пальцев Samsung как метода защиты данных.
Надеемся, что это будет решено в будущих версиях этих сканеров или через обновления программного обеспечения; на данный момент, если ваш телефон содержит конфиденциальные данные, вы, вероятно, должны вместо этого использовать пароль.
