思科研究人员使用3D打印机欺骗三星,苹果指纹传感器

思科系统公司Talos网络安全部门的研究人员今天透露,他们已经设法使用3D打印机创建的伪造指纹来解锁三星电子有限公司,苹果公司和其他消费硬件制造商的设备。

包括iPhone在内的手机都使用内置的指纹传感器来启用生物特征认证。 MacBook和其他笔记本电脑型号以及某些其他设备(如面向安全的USB闪存驱动器)也是如此。

Talos的研究人员Paul Rascagneres和Vitor Ventura花了几个月的时间研究出了一套欺骗流行消费设备中的指纹传感器的技术。确切的方法因设备而异,但基本概念在所有方面都是相同的。研究人员获得了用户指纹的照片,将指纹覆盖在3D打印机中制造的模具上,然后进行了20次尝试来破解他们测试的每个设备。

Talos的模具平均成功率约为80%。对于2018年的MacBook Pro机型,成功率达到95%,而iPhone 8和三星最新的Galaxy S10旗舰手机均在至少80%的尝试中均被解锁。但是研究人员并没有设法破解他们测试的所有设备:五种带有微软公司提供的指纹传感器的笔记本电脑型号,它们的Windows Hello功能无法一次接受模具。

Talos的Rascagneres和Ventura Ventura在博客文章中详细介绍了“成功率的高低,这意味着我们很有可能在将任何经过测试的设备恢复到销钉解锁之前将其解锁。” “结果表明,指纹足够好,可以保护普通人在丢失手机时的隐私。但是,一个可能会被资金雄厚且积极进取的演员作为目标的人,不应使用指纹认证。”

只有老练的黑客才能复制研究人员的工作,其原因有两个。一种是,解锁指纹传感器首先需要获得目标受害者指纹的照片,这绝非易事。另一个障碍是,生产功能正常的模具涉及重大的技术挑战,这些挑战需要Talos数月才能克服。

研究人员详细说明:“在测试期间,我们最大的限制是模具的尺寸。” “伪造的指纹必须具有确切的大小。 1%的大小太小或太大,伪造的指纹均无效。”

此外,他们补充说:“在测试期间,很明显,所使用的材料是取决于传感器类型的决定因素,尤其是在将声波传感器与电容传感器进行比较时。” “为提高成功率,我们使用了硅和不同种类的胶水,并混合了导电(石墨和铝)粉末。”

此类研究最终可以帮助设备制造商提高产品的安全性。去年,在用户意外发现Galaxy S10的指纹传感器可能被简单的塑料手机套所欺骗后,三星发布了一个软件补丁来解决此问题。对指纹传感器安全性的研究对高通公司等上游供应商也很有用,该公司生产的扫描仪可为S10的生物特征认证提供动力。

图片:Unsplash

资讯来源:由0x资讯编译自SILICONANGLE。版权归作者Maria Deutscher所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢