Közel egy évtizede, hogy az ujjlenyomat-olvasó gyors és egyszerű feloldó mechanizmusa elterjedt az okostelefonok és laptopok használatánál. Ezzel egy időben természetesen a feltörésükre irányuló kísérletek is megjelentek, bár az ilyesmi mostanáig gyakorlatilag kivitelezhetetlennek tűnt egy hozzáértő hekker segítsége nélkül. Új kutatások azonban azt mutatják, hogy az ujjlenyomatok megbízható megtévesztéséhez és az okostelefonokba történő behatolás ma már jóval egyszerűbb mint hajdanán.

A Cisco Talos nevű intézet kutatói mintegy tucat eszközön ugyanis átlagosan nyolcvan százalékos sikerességi rátát értek el az ujjlenyomat-leolvasó szkennerek feltörésénél. Mindehhez pedig csupán egy 3D nyomtató kellett.

A szakemberek hangsúlyozzák, hogy az ujjlenyomat-zárak ettől függetlenül továbbra is megfelelő védelmet nyújtanak a rosszindulatú támadások ellen, mivel technikájuk megköveteli az ujjlenyomat másolatának megszerzését, valamint az eszközhöz való fizikai hozzáférést. De az átlag felhasználóknak még így is figyelembe kell venniük a rendészeti hatóságok lehetséges hozzáférési kérelmeit az eszközzár kiválasztásakor - különös tekintettel arra, hogy az ujjlenyomat-védelem feltörésének akadályai minimálisabbak mint valaha.

"Az ujjlenyomat-alapú hitelesítés megkerülése korántsem kivitelezhetetlen" - mondja Craig Williams, a Talos vezetõje.

"Bár tény, hogy az otthoni 3D nyomtatási technológia olyan felbontást tud elérni, amely kevésbé biztonságossá teszi az ujjlenyomat-olvasókat a tíz évvel ezelőtti állapotokhoz képest, mert manapság mindenki hozzáférhet ezekhez a nyomtatókhoz. Persze a művelet ettől még mindig nem könnyű, mivel jelentős erőfeszítéseket igényel." Kísérletük során a kutatók három különböző módszerrel szereztek ujjlenyomatokat. Az első a közvetlen begyűjtés volt, melynek során mintát vettek a célszemély ujjlenyomatáról. A második esetben használatban lévő szkennerből gyűjtöttek adatokat, például határátkelőhelyeken, a harmadik esetben pedig más tárgyaktól származó nyomatok vettek, például egy üvegről, ami azelőtt a kísérleti alany kezében volt. A lenyomat elkészítéséhez egy viszonylag olcsó ultraibolya 3D nyomtatót használtak, amely 'meggyógyítja' az UV-fény által kilökött gyantát. Ezután számos anyagot, többek között szilikont is megvizsgáltak a végső próba elkészítéséhez. Meglepő módon a legnagyobb sikert pillanatragasztóval érték el.

Annak érdekében, hogy az ujjlenyomatok kapacitívvá váljanak, vagyis az érzékelőzárak valódi ujjakként érzékeljék azokat, a kutatók lényegében megalkottak egy ujjlenyomat-álruhát, amit bárki viselhet, és ezáltal eltakarhatja saját lenyomatát.

Eredményeik összességében kiemelik azt az egyensúlyt, amelyet az ujjlenyomat-érzékelők gyártóinak meg kell találniuk a biztonság és a használhatóság között. Ha egy érzékelőt úgy állítanak be, hogy erősen ellenálljon a hamis pozitív eredményeknek, akkor valószínűleg elutasítja az eszköz feloldásának néhány legitim kísérletét is. A túl engedékeny érzékelő ugyanakkor lehetővé teszi akár még a gyerekek számára is, hogy bejuthassanak szüleik táblagépébe. Vagy még rosszabb. Érdekes módon nem az adott eszköz ára határozta meg, hogy az feltörhető-e: a szakemberek egyáltalán nem tudták becsapni a Samsung középkategóriájú A70 okostelefonját, de következetesen feltörték a Samsung S10-et. A Windows Hello esetén szintén nem jártak sikerrel a Windows 10 rendszerben, a MacBook Pro TouchID azonban nem okozott problémát. Megjegyezték, hogy ennek ellenére az Apple ötlépcsős ujjlenyomat-beolvasási kísérletének korlátja hatékony védelem az ilyen támadásokkal szemben. Illetve hozzátették, hogy amennyiben nem ismerték volna a feltört eszközök gyenge pontjait, valószínűleg kevesebb sikerrel jártak volna. Utolsó lépésben továbbították eredményeiket a gyártóknak, egyúttal kiemelték, hogy munkájukkal nem korábban ismeretlen sebezhetőségeket kerestek az okostelefonokon, hanem szerettek volna rámutatni a folyamatos vizsgálat szükségességére.

"Úgy gondolom, hogy az okostelefonok ujjlenyomat-leolvasói leginkább a kényelemről szólnak" - mondja Lukasz Olejnik, független kiberbiztonsági kutató és tanácsadó. „A semminél nyilván jobbak, de egy erős PIN-kód általában biztonságosabb. ”

(Fotó: Pixabay)