ابتكر خبراء من شركة Cisco Talos بصمات أصابع مزيفة قادرة على خداع مستشعرات الهاتف الذكي والكمبيوتر اللوحي والكمبيوتر المحمول بالإضافة إلى الأقفال الذكية ، لكن الأمر استغرق بعض الجهد.
لسنوات ، كان أمن التصريح المستند إلى بصمات الأصابع موضوع نقاش حاد. في عام 2013 ، بعد وقت قصير من إطلاق iPhone 5S مع TouchID ، أظهر الباحثون أن التكنولوجيا قابلة للتصدع من خلال تصوير بصمة على سطح زجاجي واستخدامها لصنع قالب يمكن أن يخدع النظام. لكن التكنولوجيا لا تتوقف أبدًا ، وأظهرت التحسينات الأمل.
في العام الماضي ، على سبيل المثال ، بدأ المصنعون بتزويد الهواتف الذكية بأجهزة مسح بصمات الأصابع بالموجات فوق الصوتية المخفية تحت الشاشة ، مما يلغي الحاجة إلى لوحات إضافية ، ويكون ، على الأقل من الناحية النظرية ، أكثر أمانًا.
قرر زملاؤنا في Cisco Talos معرفة مدى سهولة خداع أنواع مختلفة من ماسحات بصمات الأصابع في الأجهزة الحديثة ، أو ما إذا كانت التكنولوجيا آمنة أخيرًا.
أولاً ، تجديد المعلومات حول كيفية عمل ماسحات بصمات الأصابع. الفكرة الأساسية بسيطة: ضع إصبعك على هاتف ذكي أو ماسح ضوئي للكمبيوتر المحمول أو قفل ذكي ويستخرج المستشعر صورة من بصمة إصبعك. يتعرف كل نوع من أنواع الماسح الضوئي على بصمات الأصابع بطريقته الخاصة. ركز فريق Cisco Talos على الثلاثة الأكثر شهرة:
1- الماسحات الضوئية السعوية هي الأكثر شيوعًا.
إنهم ينشئون صورة عن طريق شحنة كهربائية صغيرة تولدها مكثفات مدمجة صغيرة يمكنها تخزين الكهرباء. عندما يلمس الإصبع الماسح الضوئي ، فإنه يقوم بتفريغ هذه المكثفات. الاتصال الأكبر (حواف بصمات الأصابع) يسبب المزيد من التفريغ الفجوات بين الجلد والمستشعر (وديان بصمات الأصابع) تسبب أقل. الماسح الضوئي يقيس الفرق ويحدد النمط.
2- الماسحات الضوئية
تقوم الماسحات الضوئية بشكل أساسي بالتقاط صورة لبصمة الإصبع. يضيء الجهاز الإصبع من خلال منشور ، وتعكس الحواف والوديان هذا الضوء بشكل مختلف ، ويقرأ المستشعر المعلومات ويحولها إلى صورة.
3- الماسحات فوق الصوتية
تستخدم الماسحات الضوئية بالموجات فوق الصوتية إشارة الموجات فوق الصوتية بدلاً من الضوء ، وتسجل الصدى الناتج عن التلال والوديان (كما هو الحال مع انعكاس الضوء ، فإن الحواف والوديان لها أصداء مختلفة). لا يلزم أن يكون هذا النوع من الماسحات الضوئية ملامسًا للإصبع ، لذا يمكن وضعه أسفل الشاشة. والأكثر من ذلك ، أنه "يسمع" ليس فقط جزء الإصبع القريب من السطح ، ولكن أيضًا الحواف البعيدة عن المستشعر ، بحيث تكون الصورة أقرب إلى ثلاثي الأبعاد ، مما يساعد الماسح على اكتشاف التزييف باستخدام نسخ مسطحة مطبوعات.
بعد الحصول على بصمة إصبعك ، يقوم الماسح أو نظام التشغيل بمطابقتها مع تلك المخزنة في الجهاز. نظرًا لعدم وجود طريقة مثالية لقراءة بصمات الأصابع ، تسمح كل جهة تصنيع بهامش خطأ معين.
وكلما زاد هذا الهامش ، كان تزوير بصمة الإصبع أسهل. إذا كانت الإعدادات أكثر صرامة وكان هامش الخطأ أقل ، فمن الصعب خداع الماسح الضوئي ، ولكن من المرجح أيضًا أن تفشل الأداة في التعرف على مالكها الحقيقي.
وكلما زاد هذا الهامش ، كان تزوير بصمة الإصبع أسهل. إذا كانت الإعدادات أكثر صرامة وكان هامش الخطأ أقل ، فمن الصعب خداع الماسح الضوئي ، ولكن من المرجح أيضًا أن تفشل الأداة في التعرف على مالكها الحقيقي.
كيف زيف الباحثون بصمات الأصابع
لعمل نسخة مادية من بصمة الإصبع ، من الواضح أنه يتعين عليك الحصول على واحدة. وجد فريق البحث ثلاث طرق للقيام بذلك.
كيفية سرقة بصمة الإصبع. الطريقة الأولى: صنع قالب
من الممكن أخذ قالب من بصمة الهدف عندما تكون الضحية ، على سبيل المثال ، فاقدًا للوعي أو متوعكًا. أي مادة ناعمة مناسبة ؛ على سبيل المثال ، النمذجة الطين.
يمكن للمهاجم بعد ذلك استخدام القالب لعمل طرف إصبع مزيف. تتمثل الصعوبة الواضحة في أن المهاجم يحتاج إلى أن تكون الضحية في حالة مناسبة ويمكن الوصول إليها جسديًا.
كيفية سرقة بصمة الإصبع. الطريقة 2: الحصول على صورة الماسح الضوئي
هناك طريقة أخرى تتمثل في الحصول على بصمة الإصبع المأخوذة باستخدام الماسح الضوئي.
هذه الطريقة أكثر تعقيدًا من الناحية الفنية ، ولكن الخبر السار بالنسبة للصوص الصغار هو أنه ليس كل الشركات التي تتعامل مع البيانات الحيوية تخزنها بشكل موثوق. لذلك ليس من المستحيل العثور على بصمات أصابع ممسوحة ضوئيًا عبر الإنترنت أو شرائها بثمن بخس على الإنترنت المظلم.
بعد ذلك ، يجب تحويل الصورة المسطحة إلى نموذج ثلاثي الأبعاد وطباعتها على طابعة ثلاثية الأبعاد. أولاً ، البرنامج الذي أنشأ فيه الباحثون الرسم لم يسمح لهم بتحديد حجمه. ثانيًا ، كان لابد من تسخين البوليمر الضوئي المستخدم في الطابعة ثلاثية الأبعاد الاقتصادية بعد الطباعة ، مما أدى إلى تغيير أبعاد النموذج.
ثالثًا ، عندما تمكن الباحثون أخيرًا من صنع نموذج مناسب ، اتضح أن البوليمر المصنوع منه كان شديد الصلابة ، ولم ينخدع به ماسح ضوئي واحد. كحل بديل ، بدلاً من نموذج الإصبع ، قرر الباحثون طباعة قالب ، والذي استخدموه بعد ذلك لصنع إصبع اصطناعي من مادة أكثر مرونة.
كيفية سرقة بصمة الإصبع. الطريقة الثالثة: التقط صورة لبصمة الإصبع على سطح زجاجي
خيار آخر
والأبسط أيضًا ، هو تصوير بصمة الهدف على سطح زجاجي. هذا بالضبط ما حدث في حالة iPhone 5S.
تتم معالجة الصورة للحصول على المستوى المطلوب من الوضوح ، وبعد ذلك ، كما كان من قبل ، تنتقل إلى طابعة ثلاثية الأبعاد.
كما لاحظ الباحثون ، كانت تجارب الطباعة ثلاثية الأبعاد طويلة ومملة.
كان عليهم معايرة الطابعة والعثور على القالب ذي الحجم المناسب عن طريق التجربة والخطأ ، واستغرقت الطباعة الفعلية لكل طراز (50 في المجموع) بالإعدادات المطلوبة ساعة.
لذا ، فإن عمل بصمة إصبع مزيفة لإلغاء قفل الهاتف الذكي المسروق ليس بالأمر الذي يمكن القيام به بسرعة. كما أن نسخ بصمة ضحية نائمة ليس طريقة فائقة السرعة.
صنع قالب لتصنيع البصمة هو نصف المعركة. اتضح أن اختيار المواد الخاصة بالنموذج نفسه كان أكثر صعوبة ، لأن المادة المزيفة كانت لا بد من اختبارها على ثلاثة أنواع من أجهزة الاستشعار ، لكل منها طريقة مختلفة لقراءة بصمات الأصابع. على سبيل المثال ، ما إذا كانت المادة قادرة على توصيل التيار لا علاقة له بالمستشعرات فوق الصوتية والضوئية ، ولكن ليس للنوع السعوي.
ومع ذلك ، كما يحدث ، فإن هذا الجزء من العملية متاح لأي شخص: أفضل مادة للمطبوعات المزيفة هي غراء النسيج الرخيص.
ما هي الأجهزة التي تم تكسيرها ببصمات أصابع مزيفة
اختبر الباحثون منتجاتهم المزيفة على عدد من الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة من مختلف الشركات المصنعة ، وكذلك على قفل ذكي ومحركي USB محميين بمستشعر بصمات الأصابع: بصمة Verbatim Fingerprint Secure و Lexar Jumpdrive Fingerprint F35.
كانت النتائج محبطة إلى حد ما: يمكن خداع غالبية الهواتف الذكية والأجهزة اللوحية بنسبة 80٪ إلى 90٪ من الوقت ، وفي بعض الحالات كان معدل النجاح 100٪. كانت القوالب المطبوعة ثلاثية الأبعاد في نهاية المقياس الأقل فاعلية ، لكن الفرق لم يكن كبيرًا حقًا ؛ جميع الطرق الثلاث الموضحة أعلاه تعمل بشكل جيد بالفعل.
كانت هناك استثناءات. على سبيل المثال ، لم يتمكن فريق البحث تمامًا من اختراق الهاتف الذكي Samsung A70 - على الرغم من أنه من الجدير بالذكر أن A70 هو أيضًا الأكثر احتمالاً لعدم التعرف على مالكه الحقيقي.
كما تبين أن الأجهزة التي تعمل بنظام التشغيل Windows 10 غير قابلة للاختراق ، بغض النظر عن الشركة المصنعة. يعزو الباحثون هذا الاتساق اللافت للنظر إلى حقيقة أن نظام التشغيل نفسه يقوم بمطابقة بصمات الأصابع ، لذلك لا يعتمد كثيرًا على الشركة المصنعة للجهاز.
وفي الوقت نفسه ، أثبتت محركات الأقراص المحمولة المحمية أنها تستحق هذا الاسم ، على الرغم من أن زالخبراء يحذرون من أنها أيضًا قد تكون عرضة لهجوم أكثر تعقيدًا.
وأخيرًا وليس آخرًا ، كان من الأسهل خداع أجهزة مسح بصمات الأصابع بالموجات فوق الصوتية. على الرغم من قدرتهم على إدراك صورة ثلاثية الأبعاد ، إلا أنهم يقرون أن المطبوعات المزيفة أصلية عندما ضغط إصبع حقيقي على المزيف على المستشعر.
كانت النتائج محبطة إلى حد ما: يمكن خداع غالبية الهواتف الذكية والأجهزة اللوحية بنسبة 80٪ إلى 90٪ من الوقت ، وفي بعض الحالات كان معدل النجاح 100٪. كانت القوالب المطبوعة ثلاثية الأبعاد في نهاية المقياس الأقل فاعلية ، لكن الفرق لم يكن كبيرًا حقًا ؛ جميع الطرق الثلاث الموضحة أعلاه تعمل بشكل جيد بالفعل.
كانت هناك استثناءات. على سبيل المثال ، لم يتمكن فريق البحث تمامًا من اختراق الهاتف الذكي Samsung A70 - على الرغم من أنه من الجدير بالذكر أن A70 هو أيضًا الأكثر احتمالاً لعدم التعرف على مالكه الحقيقي.
كما تبين أن الأجهزة التي تعمل بنظام التشغيل Windows 10 غير قابلة للاختراق ، بغض النظر عن الشركة المصنعة. يعزو الباحثون هذا الاتساق اللافت للنظر إلى حقيقة أن نظام التشغيل نفسه يقوم بمطابقة بصمات الأصابع ، لذلك لا يعتمد كثيرًا على الشركة المصنعة للجهاز.
وفي الوقت نفسه ، أثبتت محركات الأقراص المحمولة المحمية أنها تستحق هذا الاسم ، على الرغم من أن زالخبراء يحذرون من أنها أيضًا قد تكون عرضة لهجوم أكثر تعقيدًا.
وأخيرًا وليس آخرًا ، كان من الأسهل خداع أجهزة مسح بصمات الأصابع بالموجات فوق الصوتية. على الرغم من قدرتهم على إدراك صورة ثلاثية الأبعاد ، إلا أنهم يقرون أن المطبوعات المزيفة أصلية عندما ضغط إصبع حقيقي على المزيف على المستشعر.
حماية بصمات الأصابع للمستخدمين العاديين
وفقًا للباحثين ، فإن أمن التفويض المستند إلى بصمات الأصابع يترك الكثير مما هو مرغوب فيه ، بل إن الوضع تدهور إلى حد ما مقارنة بالسنوات السابقة.
ومع ذلك ، فإن صنع إصبع مزيف عملية مكلفة نوعًا ما ، على الأقل في الوقت المناسب ، مما يعني أن المستخدم العادي ليس لديه ما يخشاه. ولكن إذا كنت في مرمى مجموعة إجرامية أو خدمة استخبارات جيدة التمويل ، فهذه قصة مختلفة. في هذه الحالة ، من الأفضل حماية جميع أجهزتك بكلمة مرور قديمة جيدة.
ومع ذلك ، فإن صنع إصبع مزيف عملية مكلفة نوعًا ما ، على الأقل في الوقت المناسب ، مما يعني أن المستخدم العادي ليس لديه ما يخشاه. ولكن إذا كنت في مرمى مجموعة إجرامية أو خدمة استخبارات جيدة التمويل ، فهذه قصة مختلفة. في هذه الحالة ، من الأفضل حماية جميع أجهزتك بكلمة مرور قديمة جيدة.
بعد كل شيء ، يعد اختراق شخص قوي أكثر صعوبة ، ويمكنك دائمًا تغييره إذا كنت تشك في أنه قد يقع في الأيدي الخطأ.