Німецькі інженери комп'ютерної безпеки розробили і продемонстрували на практиці спосіб злому сканера малюнка вен на долоні, використовуваного для безпечної автентифікації при проході в приміщення, в банкоматах та інших місцях. Для цього необхідно використовувати камеру без інфрачервоного фільтра, роздруківку малюнка вен і залитий поверх неї віск, повідомляє Motherboard. Розробка була представлена на конференції Chaos Communication Congress.
Крім стандартного методу автентифікації за кодом або паролем, багато сучасних пристроїв оснащені біометричними сканерами, що перевіряють відповідність параметрів тіла людини збереженій моделі. Найбільш поширені сканери відбитка пальця, але також існує безліч менш поширених сканерів. Наприклад, деякі пристрої вміють сканувати форму і розташування елементів обличчя, райдужну оболонку ока, а інші використовують автентифікацію за динамічними характеристиками, такими як голос. Як правило, такі системи вважаються не тільки більш зручними, але і більш надійними, ніж стандартний доступ за кодом. Тим не менш, дослідники постійно показують, що для них існують досить прості способи злому.
Ян Крісслер (Jan Krissler) і Юліан Альбрехт (Julian Albrecht) з Берлінського технічного університету розробили простий метод, що дозволяє обійти систему автентифікації за малюнком вен на долоні. Для Крісслера це вже не перша подібна розробка - в 2013 році він зламав сканер відбитка пальця Touch ID в iPhone 5S через добу після початку продажів смартфона, а в минулому році ми розповідали про розроблений фахівцем метод злому системи сканування райдужки в Samsung Galaxy S8. У своїй новій роботі Крісслер і Альбрехт зуміли зламати систему, яка найчастіше встановлюється не в мобільних пристроях, а на вході в приміщення і банкомати.
Спочатку дослідники розробили метод отримання малюнка вен жертви. Для цього вони використовували цифровий дзеркальний фотоапарат, з матриці якого вони зняли плівку, що відсікає інфрачервоне випромінювання. Завдяки цьому при зйомці зі спалахом малюнок вен помітний на фотографії, навіть якщо зйомка велася з відстані в кілька метрів. Автори зазначають, що для сканування глибоко розташованих вен у пальцях цього недостатньо і необхідно підсвічувати руку з іншого боку за допомогою інфрачервоного випромінювача. Дослідники вважають, що таку установку можна непомітно розмістити в деяких сушарках для рук. Вони вже зібрали спрощений прототип такої системи, в основі якого лежить одноплатний комп'ютер Raspberry Pi і компактний модуль камери.
Після зйомки вихідне зображення піддається обробці, в результаті якої на ньому виділяються вени, які піддаються топологічній скелетонізації - на їх місці малюються лінії однопіксельної ширини, рівновіддалені від обох меж вихідної лінії. Після цього однопискельна модель перетворюється алгоритмом на реалістичну модель вен. Потім цей малюнок необхідно роздрукувати і залити воском, що імітує шкіру.
Дослідники перевірили спосіб на реальному обладнанні двох фірм - Hitachi і Fujitsu - і продемонстрували працездатність методу на конференції. Автори звернулися до обох виробників, але лише один з них розглянув інформацію і висловив подяку.
Раніше інші дослідники демонстрували злом біометричних систем аутентифікації, що працюють на інших принципах. Наприклад, в'єтнамським фахівцям вдалося через тиждень після початку продажів iPhone X зламати його систему аутентифікації по обличчю Face ID. Для цього вони використовували 3D-друковану модель обличчя з наклеєними роздруківками елементів обличчя. А дослідники з німецької компанії SYSS показали, що для злому системи біометричної аутентифікації Windows Hello досить простий роздруківки знімка з обличчям господаря комп'ютера.