az ujjlenyomat-szkennerek általában nagyszerű védelmi vonalat jelentenek a hackerek ellen, de ez nem jelenti azt, hogy áthatolhatatlanok. És ahogy a csalások csökkentésére szolgáló eszköz-ujjlenyomat növekszik, a hackerek új technikákat dolgoznak ki a feltörésükre.
az alábbiakban bemutatunk néhány módszert, amellyel a hackerek betörhetnek az ujjlenyomat-szkennerekbe.
- kép: UNSPLASH
- Masterprints
- hogyan lehet megakadályozni ezt a feltörést
- nem Biztonságos Képek betakarítása
- hogyan lehet megakadályozni ezt a támadást
- hamisított ujjlenyomatok
- hogyan kerüljük el ezt a támadást
- Software Exploit
- hogyan lehet megakadályozni ezt a támadást
- maradék ujjlenyomatok
- hogyan lehet megakadályozni ezt a támadást
- kép: UNSPLASH
kép: UNSPLASH
Masterprints
csakúgy, mint a mesterkulcsokat a fizikai zárak feloldásához, az ujjlenyomat-szkennereknek is van úgynevezett “masterprints”. Ezek lényegében egyedi készítésű ujjlenyomatok, amelyek általában tartalmazzák az emberi ujjak összes szokásos tulajdonságát.
a hackerek masterprinteket használhatnak olyan eszközök feloldásához, amelyek nem megfelelő ujjlenyomat-szkennelési technológiát használnak. Míg a megfelelő Szkennerek általában blokkolják a masterprinteket, a mobileszközön lévő kevésbé hatékony szkennerek nem biztos, hogy olyan szigorúak az ellenőrzésekkel, mint kellene. Ez a hackerek számára hatékony módja annak, hogy bejussanak az eszközbe, mivel ez nem szigorú a beolvasásokkal.
hogyan lehet megakadályozni ezt a feltörést
a támadás elkerülésének legjobb módja az lenne, ha egy nagy teljesítményű ujjlenyomat-leolvasót használna, amely nem fukarkodik a beolvasásokkal. Általánosságban elmondható, hogy a masterprints általában a kevésbé pontos szkennereket használja ki, amelyek nem végeznek olyan vizsgálatokat, amelyek “elég jók” a felhasználó személyazonosságának megerősítéséhez.
tehát, mielőtt bízna az eszköz ujjlenyomat-szkennelési funkciójában, bölcs dolog kutatni rajta. Nagy figyelmet kell fordítani a hamis elfogadási arányra (FAR). Ez egy statisztika, amely megadja annak a valószínűségnek a százalékát, hogy egy nem jóváhagyott ujjlenyomat hozzáférhet az eszközhöz. Minél alacsonyabb a távoli ábra, annál nagyobb az esélye, hogy a szkenner elutasítja a masterprint-et.
nem Biztonságos Képek betakarítása
amikor egy hacker megszerzi az ujjlenyomat-képet, akkor valójában tartja a kulcsot, hogy bejusson a szkennerekbe. Bár meg lehet változtatni a jelszót, az ujjlenyomat ugyanaz marad az élet. Ez az állandóság lényegében értékesvé teszi őket a hackerek számára, akik túl akarnak lépni egy ujjlenyomat-leolvasón.
azonban, hacsak nem vagy befolyásos vagy híres, nem valószínű, hogy egy hacker az idejét és erőforrásait arra fordítja, hogy megszerezze az ujjlenyomatait. Valószínűbb, hogy a szkennereket vagy eszközöket célozzák meg abban a reményben, hogy azok tartalmazzák a nyers ujjlenyomat-adatokat.
ahhoz, hogy a szkenner azonosítsa a felhasználót, általában az ujjlenyomat alapképére van szükség. A telepítési folyamat során megadja a nyomtatást a szkennernek, majd elmenti a képet a memóriájába. Ezután minden alkalommal előhívja ezt a képet, amikor a szkennert használja, és győződjön meg arról, hogy a beolvasott ujj ugyanaz, mint amit a telepítési folyamatban megadott.
sajnos egyes szkennerek vagy eszközök általában anélkül mentik el ezt a képet, hogy először titkosítanák. Abban az esetben, ha egy hacker hozzáférést kap ehhez a tárolóhoz, az ujjlenyomat adatait összegyűjtheti az ujjlenyomat nyers képének megragadásával.
hogyan lehet megakadályozni ezt a támadást
a támadás elkerülése érdekében figyelembe kell vennie a használt eszköz biztonságát. Egy jól megtervezett ujjlenyomat-szkennernek titkosítania kell a képfájlt, hogy megakadályozza a kíváncsiskodó szemek biometrikus adatainak megszerzését.
ellenőrizze, hogy az ujjlenyomat-leolvasó helyesen tárolja-e a nyers ujjlenyomat-képeket. Abban az esetben, ha a készülék nem használja a megfelelő módszereket és technológiákat az ujjlenyomat-kép biztonságos tárolására, azonnal hagyja abba a használatát. Fontolja meg a képfájl törlését is, hogy megbizonyosodjon arról, hogy a hackerek nem tudják másolni maguknak.
hamisított ujjlenyomatok
abban az esetben, ha egy hacker nem tudja megszerezni az ujjlenyomat-képet, megpróbálhat ujjlenyomatot létrehozni. Ez magában foglalja a célnyomatok megtalálását, majd újrateremtését a szkenner megkerülése érdekében.
ezt a módszert általában nem használják a nyilvánosság tagjai számára, de még mindig érdemes tudni róla, különösen, ha kormányzati vagy vezetői pozícióban van. Néhány évvel ezelőtt például a BBC arról számolt be, hogy egy hacker hogyan tudta újra létrehozni a német védelmi miniszter ujjlenyomatát.
számos módja van annak, hogy egy hacker a begyűjtött ujjlenyomatot fizikai ujjlenyomattá alakítsa. Elkészíthetik a kéz fa-vagy viaszmásolatát, vagy akár egy speciális papírra vagy egy ezüst vezető tintára is kinyomtathatják, és felhasználhatják a szkenneren.
hogyan kerüljük el ezt a támadást
ez sajnos az egyik olyan támadás, amelyet nehéz közvetlenül elkerülni. Ha egy hacker komolyan megsérti az ujjlenyomat-leolvasót, és képesek megszerezni az ujjlenyomatát, akkor valójában semmit sem tehet annak megakadályozására, hogy replikációt vagy modellt készítsenek róla.
a támadás legyőzéséhez a legfontosabb az ujjlenyomat megszerzésének megállítása. Nem ajánlott, hogy mindig viseljen kesztyűt, de minden bizonnyal fontos tisztában lenni azzal a lehetőséggel, hogy ujjlenyomat-adatai kiszivároghatnak a nyilvánosság elé. Az elmúlt években sok érzékeny információt tartalmazó adatbázis szivárgott ki, érdemes ezt szem előtt tartani.
fontos a jelszavak rendszeres megváltoztatása is. Egy nagy adatbázist, amely több mint 560 millió felhasználó bejelentkezési adatait tartalmazza, nemrég találtak meg az interneten, és csak arra vár, hogy felfedezzék a never-do-wells.
győződjön meg arról, hogy az ujjlenyomat-adatait csak megbízható szolgáltatásokon és eszközökön használja. Abban az esetben, ha egy par alatti szolgáltatás megsérti az adatbázisát, és kiderül, hogy az ujjlenyomat-képeik nem voltak titkosítva, akkor ez lehetővé teheti a hackerek számára, hogy összekapcsolják a nevét az ujjlenyomat-képével, és veszélyeztessék a szkennereket.
Software Exploit
vannak olyan jelszókezelők, amelyek ujjlenyomat-szkenneléssel ellenőrzik a felhasználót. Bár ez hasznos a jelszavak biztonságában, hatékonysága általában attól függ, hogy mennyire biztonságos a jelszókezelőt futtató szoftver. Ha vannak benne rejlő biztonsági hibák a támadásokkal szemben, a hackerek kihasználhatják őket, és megkerülhetik az ujjlenyomat-vizsgálatot.
ez a probléma meglehetősen hasonlít egy repülőtér biztonsági rendszerének korszerűsítésére. Őröket, fémdetektorokat, sőt CCTV kamerákat is elhelyezhettek a repülőtér elején. Ha azonban a rosszindulatú emberek felfedeznek egy hátsó ajtót, amikor be tudnak lopakodni, akkor a hagyományos biztonság semmiért nem lenne.
a Gizmodo a közelmúltban számos Lenovo eszköz biztonsági hibájáról számolt be, ahol az ujjlenyomat által aktivált jelszókezelő kemény kódolású jelszóval érkezett. Abban az esetben, ha egy rosszindulatú személy hozzáférni akart a jelszókezelőhöz, csak annyit kellett tennie, hogy a szkenner mellett navigált a rendszerben kódolt jelszón keresztül, ami hatékonyan használhatatlanná tette a szkennert.
hogyan lehet megakadályozni ezt a támadást
a támadás elkerülésének legjobb módja a népszerűbb és jól fogadott termékek megvásárlása. Ne feledje azonban, hogy ennek ellenére a Lenovo meglehetősen népszerű háztartási márka, ők is támadást szenvedtek.
mint ilyen, még akkor is, ha csak jó hírű gyártók által készített termékeket használ, elengedhetetlen, hogy a biztonsági szoftver naprakész legyen a későbbiekben felfedezett problémák kijavításához.
maradék ujjlenyomatok
néha a hackereknek nem igazán kell fejlett technikákat alkalmazniuk az ujjlenyomatok megszerzéséhez. Vannak esetek, amikor csak az előző vizsgálatból megmaradt maradványokra van szükségük, hogy átjuthassanak a biztonságon.
mindenki ujjlenyomatát hagyja a tárgyakon, amikor használja őket. Az ujjlenyomat-szkenner nem kivétel. A szkennerről betakarítható nyomatok szinte garantáltan azok, amelyek kinyitják. Ez hasonló ahhoz, hogy elfelejtünk egy kulcsot a zárban, amikor kinyitjuk az ajtót.
lehet, hogy a hackernek nem is kell lemásolnia a szkennerről a nyomatokat. Az okostelefonokon használt ujjlenyomat-leolvasók általában úgy érzékelik az ujjlenyomatokat, hogy fényt bocsátanak ki az ujjára, majd rögzítik a fényt az érzékelőkhöz. A Threatpost arról számolt be, hogy egy hacker hogyan tudta becsapni a szkennert, hogy hozzáférést biztosítson a maradék ujjlenyomaton keresztül.
egy Yang Yu nevű kutató sikeresen becsapott egy okostelefon ujjlenyomat-leolvasót, hogy hozzáférést biztosítson a maradék ujjlenyomathoz. Ez úgy történt, hogy fényvisszaverő, átlátszatlan tárgyat helyeztek a szkenner tetejére. Ez becsapta a szkennert, hogy azt gondolja, hogy a maradék ujjlenyomat valódi ujj, és hozzáférést biztosított neki.
hogyan lehet megakadályozni ezt a támadást
ez nagyon egyszerű – rendszeresen törölje le az ujjlenyomat-leolvasókat. A szkenner természetesen lesz az ujjlenyomatok rajta bármikor. Mint ilyen fontos, hogy tartsa tisztán a nyomatok. Ez segít megakadályozni, hogy a hackerek a szkennert ellened használják.
ha még több üzleti témájú cikk és információ érdekel minket itt, a Bit Rebels-nél, akkor sok közül választhatunk.
