Som regel kreves det et minimum av ekspertise for å narre biometriske verifiseringsløsninger. Nå har sikkerhetsforskere imidlertid demonstrert en særdeles enkel metode for å lure en av de vanligste biometriske sikkerhetsfunksjonene – fingeravtrykksleseren.
Sikkerhetsselskapet Kraken Security Labs viste nylig hvordan man kan hacke fingeravtrykksleseren på meget kort tid og med svært begrensede ressurser. Alt man trenger er en dæsj lim og en laserskriver.
En demonstrasjonsvideo av teknikken ser du nederst i artikkelen.
Bruker bilde av fingeravtrykket
Metoden innebærer å først skaffe seg et bilde av fingeravtrykket man ønsker å bruke til å låse opp enheten. Som forskerne påpeker, er dette relativt enkelt med tanke på at fingeravtrykk er noe man etterlater seg på alskens overflater og elektroniske enheter, for eksempel berøringsskjermer.
Ved hjelp av litt enkel bilderedigering forvandler man deretter fingeravtrykket til et negativt bilde. Dette bildet skrives så ut på et acetatark, gjerne kalt transparenter, som er en gjennomsiktig type ark som blant annet brukes til overhead-presentasjoner.
Ved å bruke en laserskriver til å skrive ut bildet, genereres en tredimensjonal struktur av fingeravtrykket på arket. Det siste steget er å smøre på et tynt lag med vanlig trelim, som kan fåes for en billig penge, på avtrykket.
Etter at limet har tørket, har man laget en primitiv, men effektiv, 3D-avstøpning av fingeravtrykket. Forskerne brukte denne til å låse opp flere ulike typer enheter ved hjelp av fingeravtrykksleseren – deriblant en Macbook Pro.
– Ikke sikkert
På bakgrunn av det enkle eksperimentet konkluderer forskerne med at et fingeravtrykk aldri bør vurderes som et sikkert alternativ til et sterkt passord, da selv usofistikerte angripere kan omgå løsningen.
– Det bør nå være klart at selv om fingeravtrykket ditt er unikt, kan det fremdeles utnyttes relativt enkelt. I beste fall bør du kun vurdere å bruke det som totrinnsverifisering, skriver forskerne.
Dette er på ingen måte første gang sikkerhetsforskere har laget løsninger som narrer fingeravtrykksleseren. Allerede i 2018 meldte Digi.no om en teknikk som innebar å bruke kunstig intelligens til å lage et «master-avtrykk» – et slags universelt fingeravtrykk som kan brukes til å låse opp en hvilken som helst mobil med relativt høy suksessrate.
Andre biometriske løsninger, som ansiktsskanning, går det også an å lure. Tidligere har Digi.no rapportert om 3D-skrevne hoder som ble brukt til å låse opp flere typer enheter. Denne metoden er riktignok litt mer ressurskrevende.
Denne sikkerhetsnøkkelen bruker fingeravtrykk til å logge inn på kontoene dine
