ITanalyze

امنیت احراز هویت مبتنی بر اثر انگشت سالهاست که به بحثی داغ تبدیل شده است. سال 2013، درست کمی بعد از عرضه‌ی آیفون 5s که مجهز به تاچ‌آی‌دی بود، محققین با عکسبرداری از اثر انگشت روی سطح شیشه‌ای و استفاده‌ از آن برای ساخت قالبی که بتواند سیستم را فریب دهد ثابت کردند این فناوری قابل‌ کرک کردن است. اما فناوری هیچوقت از حرکت باز نمی‌ایستد و خوب پیشرفت‌‌ها همیشه آدم را امیدوار می‌کنند. برای مثال سال گذشته تولیدکنندگان شروع کردند به مجهز کردن اسمارت‌فون‌ها به اسکنرهای اثرانگشت فراصوت که زیر نمایشگر پنهان می‌شدند. با این اسکنرها دیگر هیچ نیازی به پنل‌های اضافی نبود و دست‌کم (به طور نظری) گوشی‌ها امن‌تر بودند. تیم  Cisco Talos تصمیم گرفت امتحان کنند انواع مختلف اسکنرهای اثر انگشت در دستگاه‌های مدرن چقدر زود می‌توانند فریب‌شان را بخورند و یا اینکه آیا این فناوری بالاخره امن است یا نه. 

احراز هویت با اثر انگشت- تئوری
ایده‌ اولیه بسیار ساده است: انگشت خود را روی اسمارت‌فون، اسکنر لپ‌تاپ یا قفل هوشمند می‌گذارید و بعد حسگر تصویری را از اثر انگشت شما استخراج می‌کند. هر نوع اسکنری به روش خود اثر انگشت را شناسایی می‌کند. تیم Cisco Talos تمرکر خود را روی سه روش محبوب گذاشت:

• اسکنرهای خازنی 
این اسکنرها از همه مدل‌ها رایج‌ترند بوده و بوسیله‌ی شارژ کوچک برقی تولیدشده توسط خازن‌های درون‌سازه‌ایِ مینیاتوری که قادرند برق را ذخیره کنند، تصویر را می‌سازند. وقتی انگشت، اسکنر را لمس می‌کند، شارژ خازن‌ها تخلیه می شود. تماس بیشتر شارژ خازن را بیشتر تخلیه می‌کند؛ شکاف‌های بین پوست و حسگر (شیارهای اثر انگشت) این تخلیه شارژ را کمتر می‌کند. اسکنر میزان تفاوت را اندازه‌گیری کرده و الگو را تعیین می‌کند. 

• اسکنرهای نوری
در اصل این اسکرها از اثر انگشت عکس می‌گیرند. این دستگاه از طریق یک منشور، انگشت را روشن می‌کند؛ هر انگشتی با توجه به شیارهای منحصر به فردی که دارد یک جور متفاوتی نور را بازتاب می‌دهد و حسگر می‌تواند اطلاعات را خوانده و آن را به عکس تبدیل کند. 

• اسکنرهای فراصوت
این اسکنرها به جای نور از سیگنال فراصوت استفاده می‌کنند. آن‌ها اکوی تولیدشده توسط شیارها را ثبت می‌کنند. این نوع اسکنر نیازی به تماس با انگشت ندارد؛ بنابراین می‌تواند زیر نمایشگر قرار گیرد. علاوه بر اینها، این اسکنر نه تنها بخشی از انگشت را که به سطح نزدیک است می‌شنود، بلکه همچنین لبه‌هایی که از حسگر دورتر هم هستند را می‌شنود. بدین‌ترتیب، تصویر حالت سه بعدی بیشتری به خود خواهد گرفت. 
اسکنر یا سیستم عامل با دریافت اثر انگشت شما آن را با اثر انگشت ذخیره‌شده در دستگاه مطابقت می‌دهد. از آنجایی که هیچ متود خوانش اثر انگشتی که تا به حال عرضه شده بی‌نقص نیست، هر تولیدکننده‌ای تا حدی می‌تواند حاشیه خطا داشته باشد. هر قدر این حاشیه خطا بالاتر باشد، راحت‌تر می‌شود اثر انگشت را جعل کرد. اگر تنظیمات سخت‌تر شوند حاشیه خطا پایین‌تر می‌آید و به تعاقب آن اسکنر سخت‌تر فریب خواهد خورد. اما خود گجت هم احتمال دارد صاحبش را اشتباه بگیرد. 

چطور محققین اثر انگشت‌ها را جعل کردند؟
برای ساخت کپی فیزیکی از اثر انگشت، واضح است که باید اول آن را در اختیار باشید. تیم محقق سه راه برای انجام این کار پیدا کردند. 

چطور اثر انگشت را می‌شود دزدید؟ متود 1: ساخت قالب
این امکان وجود دارد که وقتی فرضاً قربانی به هوش نیست از انگشتش قالب گرفت. هر چیز نرمی می‌تواند مناسب باشد، مثلاً گل قالب‌گیری. 
مهاجم می‌تواند سپس از این قالب برای ساخت اثرانگشت جعلی استفاده کند. سختی کار اینجاست که مهاجم به حضور فیزیکی قربانی نیاز دارد. 

چطور اثر انگشت را می‌شود دزدید؟ متود 2: در دست داشتن عکس اسکنر
روش بعدی در اختیار داشتن اثر انگشتی است که اسکنر آن را گرفته است. این متود به لحاظ فنی از پیچیدگی بیشتری برخوردار است اما خبر خوب برای سارقین این است که همه‌ی شرکت‌هایی که داده‌ی بیومتریک را مدیریت می‌کنند آن‌ را به طور مطمئنی ذخیره نمی‌کنند. پس پیدا کردن اثر انگشت‌های اسکن‌شده به صورت آنلاین یا خریدنشان با قیمتی نازل در دارک‌نت چندان هم دور از ذهن نیست. سپس تصویر تخت باید به مدلی سه‌بعدی تبدیل شود (روی یک پرینتر سه‌بعدی). ابتدا، برنامه‌ای که در آن محققین نقش را کشیدند به آن‌ها اجازه‌ی تنظیم سایز نداد. دوم اینکه، فوتوپلیمرِ بکار رفته در پرینتر سه‌بعدی باید بعد از پرینت، گرم می‌شد که همین ابعاد مدل را تغییر دد. 
سوم اینکه وقتی محققین در نهایت تصمیم به ساخت مدلی مناسب گرفتند کاشف بعمل آمد که پلیمری که از آن ساخته شده بود به شدت سفت بود و هیچ اسکنری را نمی‌توانست فریب دهد. 

چطور اثر انگشت را می‌شود دزدید؟ متود 3: گرفتن عکس از اثر انگشت روی سطحی شیشه‌ای
گزینه‌ی دیگر که از همه ساده‌تر هم هست این است که از اثر انگشت مورد هدف روی سطحی شیشه‌ای عکس بگیریم. دقیقاً همین روش بود که روی آیفون 5s پیاده شد. این تصویر برای دریافت میزان وضوح مورد نیاز پردازش شده و بعد مثل سابق می‌رود برای پرینتر سه‌بعدی. به نقل از محققین، آزمایشات پرینت سه‌بعدی طولانی و خسته‌کننده بود. آن‌ها مجبور بودند پرینتر را کالیبره و با آزمون و خطا قالب مناسب را پیدا کنند. پرینت اصلی هر مدل (در کل 50 مدل) با تنظیمات لازمشان یک ساعت به طول انجامید. بنابراین ساخت اثر انگشت جعلی برای قفل‌گشایی اسمارت‌فونی سرقت‌شده چیزی نیست که به این سرعت انجام شود. کپی کردن اثر انگشت قربانی بیهوش یا خواب نیز همینطور. 
قالب ساختن برای جعل اثر انگشت فقط نصف ماجراست؛ انتخاب ماده برای قالب‌گیری خودش داستانی است. زیرا این جعل برای تست روی سه نوع حسگر –هر کدام با متود خوانش متفاوت اثر انگشت- -به کار گرفته می‌شود. با این حال این بخش پروسه برای همه قابل‌دسترسی است: بهترین ماده برای پرینت‌های جعل، چسب ارزان‌قیمت فابریک است. 

چه دستگاه‌هایی با اثر انگشت‌های تقلبی کرک شدند؟
محققین موردهای جعل خود را روی تعدادی اسمارت‌فون، تبلت و لپ‌تاپ تولید شرکت‌های مختلف امتحان کردند (همچنین روی قفل هوشمند و دو درایو USB محافظت‌شده با حسگر اثر انگشت). نتایج کمی مأیوس‌کننده بود: اکثر اسمارت‌فون‌ها و تبلت‌ها بین 80 تا 90 درصد فریب خوردند و در برخی موارد این نرخ به 100 درصد هم می‌رسید. قالب‌های سه‌بعدی پایین‌ترین میزان کارایی را داشتند اما چه فرقی دارد؛ به هر حال هر سه متود تا حد زیادی کارامد بودند. 
البته استثناهایی هم بود: برای مثال تیم پژوهشی کاملاً از کرک اسمارت‌فون A70 عاجز بود- هرچند شایان ذکر است احتمال اینکه این مدل اسمارت‌فون صاحبش را نشناسد نیز وجود دارد. دستگاه‌هایی که ویندوز 10 اجرا می‌کنند (صرف‌نظر از تولیدکننده‌شان) نیز بسیار نفوذپذیر دیده شدند. محققین این سازگاری را به این حقیقت نسبت می‌دهند که خود سیستم عامل مطابقت اثر انگشت را بر عهده گرفته است؛ بنابراین خیلی هم به تولیدکننده دستگاه بستگی ندارد. 
در همین حال، درایوهای حفاظت‌شده با فلش هر چند خیلی از همکارها اعتقاد داشتند نفوذپذیرند از این امتحان سربلند بیرون آمدند. این را هم بگوییم که اسکنرهای اثر انگشت فراصوت از همه راحت‌تر فریب می‌خورند. با وجود توانایی‌شان در درک تصویر سه‌بعدی، باز هم پرینت‌های فیک را جای اصلی اشتباه می‌گیرند. 

حفاظت اثر انگشت برای کاربران معمولی
طبق گفته‌های محققین، امنیت مجوز مبتنی بر اثر انگشت هنوز از استانداردها دور است و تا حدی می‌توان گفت این وضعیت در مقایسه با سال‌های قبل دارد بدتر هم می‌شود. ساخت انگشت جعلی پروسه‌ای هزینه‌بردار و در بهترین حالت زمان‌بر است و این بدان‌معناست که کاربر معمولی را در این مورد هیچ خطری تهدید نمی‌کند. اما اگر از قضا گیر گروه مجرم قدر قدرت که پشتوانه‌ی مالی خوبی هم دارد بیافتید دیگر ماجرا فرق خواهد کرد. در چنین شرایطی بهترین توصیه این است که تمامی دستگاه‌های خود را با پسوردی خوب (روشی سنتی) محافظت کنید. از اینها گذشته، کرک کردن رمزعبوری قوی سخت‌تر است و شما همیشه می‌توانید اگر به کسی مظنون شدید آن را تغییر دهید. 
 
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)