Des chercheurs de Cisco
L’étude a montré que l’utilisation de modèles d’empreintes digitales qui copient l’empreinte digitale de la victime permet de déverrouiller les smartphones dans 80 % des tentatives en moyenne. Pour créer un clone d’empreinte digitale, vous pouvez vous en passer
sans équipement spécial disponible uniquement pour les services spéciaux, à l'aide d'une imprimante 3D standard. En conséquence, l'authentification par empreinte digitale est considérée comme suffisante pour protéger un smartphone en cas de perte ou de vol de l'appareil, mais est inefficace lors de la réalisation d'attaques ciblées dans lesquelles un attaquant peut déterminer une empreinte de l'empreinte digitale de la victime (par exemple, en obtenant un verre avec des empreintes digitales dessus).
Trois techniques de numérisation des empreintes digitales des victimes ont été testées :
- Faire un moulage en pâte à modeler. Par exemple, lorsque la victime est capturée, inconsciente ou en état d'ébriété.
- Analyse de l'empreinte laissée sur un verre ou une bouteille en verre. L'attaquant peut suivre la victime et utiliser l'objet qui a été touché (y compris en restaurant l'empreinte complète en partie).
- Création d'une mise en page basée sur les données des capteurs d'empreintes digitales. Par exemple, des données peuvent être obtenues en divulguant les bases de données des sociétés de sécurité ou des douanes.
L'analyse de l'impression sur le verre a été réalisée en créant une photographie haute résolution au format RAW, sur laquelle des filtres ont été appliqués pour augmenter le contraste et élargir les zones arrondies dans un plan. La méthode basée sur les données du capteur d'empreintes digitales s'est avérée moins efficace, car la résolution fournie par le capteur n'était pas suffisante et il fallait remplir les détails à partir de plusieurs images. L'efficacité de la méthode basée sur l'analyse de l'empreinte sur verre (bleu dans le graphique ci-dessous) était identique voire supérieure à l'utilisation d'une empreinte directe (orange).
Les appareils les plus résistants étaient le Samsung A70, le HP Pavilion x360 et le Lenovo Yoga, qui ont parfaitement résisté à une attaque utilisant une fausse empreinte digitale. Les Samsung note 9, Honor 7x, Aicase padlock, iPhone 8 et MacbookPro, attaqués dans 95% des tentatives, sont devenus moins résistants.
Pour préparer un modèle tridimensionnel à imprimer sur une imprimante 3D, un package a été utilisé
Ensuite, à l’aide d’un formulaire imprimé, une maquette du doigt a été coulée, utilisant un matériau plus plastique qui n’était pas adapté à l’impression 3D directe. Les chercheurs ont mené des expériences avec un grand nombre de matériaux différents, parmi lesquels les adhésifs silicone et textiles se sont révélés les plus efficaces. Pour augmenter l'efficacité du travail avec des capteurs capacitifs, du graphite conducteur ou de la poudre d'aluminium a été ajouté à la colle.
Source: opennet.ru