Восковая модель ладони обманула систему аутентификации по рисунку вен
Немецкие инженеры компьютерной безопасности разработали и продемонстрировали на практике способ взлома сканера рисунка вен на ладони, используемого для безопасной аутентификации при проходе в помещения, в банкоматах и других местах.
Для этого необходимо использовать камеру без инфракрасного фильтра, распечатку рисунка вен и залитый поверх нее воск, сообщает Motherboard. Разработка была представлена на конференции Chaos Communication Congress.
Модель, использованная для обхода системы аутентификации по рисунку вен на ладони Jan Krissler, Julian Albrech
Помимо стандартного метода аутентификации по коду или паролю, многие современные устройства оснащены биометрическими сканерами, проверяющие соответствие параметров тела человека сохраненной модели. Наиболее распространены сканеры отпечатка пальца, но также существует множество менее распространенных сканеров, пишет N+1. К примеру, некоторые устройства умеют сканировать форму и расположение элементов лица, радужную оболочку глаза, а другие используют аутентификацию по динамическим характеристикам, таким как голос. Как правило, такие системы считаются не только более удобными, но и более надежными, чем стандартный доступ по коду. Тем не менее, исследователи постоянно показывают, что для них существуют достаточно простые способы взлома.
Ян Крисслер (Jan Krissler) и Юлиан Альбрехт (Julian Albrecht) из Берлинского технического университета разработали простой метод, позволяющий обойти систему аутентификации по рисунку вен на ладони. Для Крисслера это уже не первая подобная разработка — в 2013 году он взломал сканер отпечатка пальца Touch ID в iPhone 5S спустя сутки после начала продаж смартфона, а в прошлом году рассказывали о разработанном специалистом методе взлома системы сканирования радужки в Samsung Galaxy S8. В своей новой работе Крисслер и Альбрехт сумели взломать систему, которая чаще всего устанавливается не в мобильных устройствах, а на входе в помещения и банкоматы.
Сначала исследователи разработали метод получения рисунка вен жертвы. Для этого они использовали цифровой зеркальный фотоаппарат, с матрицы которого они сняли пленку, отсекающую инфракрасное излучение. Благодаря этому при съемке со вспышкой рисунок вен заметен на фотографии, даже если съемка велась с расстояния в несколько метров. Авторы отмечают, что для сканирования глубоко расположенных вен в пальцах этого недостаточно и необходимо подсвечивать руку с другой стороны с помощью инфракрасного излучателя. Исследователи считают, что такую установку можно незаметно разместить в некоторых сушилках для рук. Они уже собрали упрощенный прототип такой системы, в основе которого лежит одноплатный компьютер Raspberry Pi и компактный модуль камеры.
После съемки исходное изображение подвергается обработке, в результате которой на нем выделяются вены, которые подвергаются топологической скелетонизации — на их месте рисуются линии однопиксельной ширины, равноудаленные от обоих границ исходной линии. После этого однопискельная модель превращается алгоритмом в реалистичную модель вен. Затем этот рисунок необходимо распечатать и залить воском, имитирующем кожу.
Исследователи проверили способ на реальном оборудовании двух фирм — Hitachi и Fujitsu — и продемонстрировали работоспособность метода на конференции. Авторы обратились к обоим производителям, но лишь один из них рассмотрел информацию и выразил благодарность.
Ранее другие исследователи демонстрировали взлом биометрических систем аутентификации, работающих на других принципах. К примеру, вьетнамским специалистам удалось через неделю после начала продаж iPhone X взломать его систему аутентификации по лицу Face ID. Для этого они использовали 3D-печатную модель лица с наклеенными распечатками элементов лица. А исследователи из немецкой компании SYSS показали, что для взлома системы биометрической аутентификации Windows Hello достаточно простой распечатки снимка с лицом хозяина компьютера.
