Könnyű becsapni a telefon ujjlenyomat-leolvasóját. Így kell megoldanunk.

A múlt hét elején ujjlenyomat-érzékelőket állítottam be az új iPhone -mon. Ekkor bátyám, @Prateek előállt egy ötlettel, hogy tesztelje ezeket a mobil ujjlenyomat-érzékelőket.

A teszt az ujjának az enyémmel együtt történő átvizsgálása volt az ujjlenyomat beállítása során. Tudja, hogyan kérik ezek az eszközök, hogy többször emelje meg, majd pihentesse az ujját az összes lehetséges szög rögzítéséhez. Tehát megcsináltuk - átkutatták néhányszor az ujját, amikor a telefon arra számított, hogy csak az ujjamat emelem fel és pihentetem meg.

Megdöbbenésemre sikerült blöffölnünk a telefont. A telepítés befejeződött, és most mindketten az ujjunkkal oldhattuk fel a telefont. Így néztek ki a beállítások - csak egy ujjal konfigurálva, és mindketten kinyithattuk a telefont.

Az agyunkba kúszott a gondolat: ez valami hiba, vagy mi? Egyelőre ez volt az ideje egy szórakoztató gyakorlatnak - kipróbálni az összes többi telefonnal, amely támogatja az ujjlenyomat-érzékelést.

Tehát különféle androidos telefonokkal kezdtük, néhányan ROM-mal, mások pedig egyedi operációs rendszerekkel egy harmadik féltől, például a Micromaxtól, a Lenovótól és a Xiaomitól. Az eredmény mindenki számára ugyanaz volt. Mindegyikünk használhatta az ujját ugyanazon telefon feloldásához, miközben csak egy ujját állítottuk be.

Először is, értsük meg, hogyan működnek ezek a mobil ujjlenyomat-leolvasók

A lényeghez tartva az ujjlenyomat-beolvasás mögött két népszerű és alapvető technológia áll a mobiltelefonokban.

Optikai szkenner - ez a technika optikai képet használ az ujja különböző képeinek rögzítésére. Egyfajta nagy pontosságú kamera és kevés LED végez itt munkát. Ezután a szoftver összehasonlítja ezeket a kétdimenziós képeket a beolvasott ujjal készített képpel.

Mivel ez lényegében csak összehasonlított kép, ezeket a szkennereket könnyű megtéveszteni. A magas DPI-s nyomtatóval kinyomtatott ujj képe elegendő az ilyen típusú szkennerek megtévesztéséhez.

Kondenzátor szkenner - itt egy sor kondenzátor rögzíti a mintát a beolvasott képből. Az alatta lévő komplex elektromos áramkör rögzíti az adatokat, és ezzel összehasonlítják a beolvasott ujjat.

Ez a technika sokkal biztonságosabb és nehezen becsapható. Az ujj nagyfelbontású képe nem használható a telefon feloldásához. A Samsung Galaxy S8 telefon állítása szerint ezt a technikát használja.

Itt az ideje a vitának: helyes-e vagy sem?

Eleinte, amikor látja, hogy ez történik, elmondhatja, hogy valami szokatlan történik. Az ujjlenyomat-leolvasó biztonságának megőrzése érdekében a következő elemek fontosak:

  • Szkennelési technika - az ujj beolvasására és az adatok / minták kinyerésére használt hardver.
  • Tárolás - Adatbázis, ahol az ujjlenyomat adatait / mintázatát tárolják.
  • Algoritmus - a beolvasott minta tárolására és összehasonlítására szolgál.

Az általános biztonság érdekében az ujjlenyomat rögzítése ugyanolyan fontos, mint az adatbázis ellenőrzési célú hivatkozása. Hibának és hatástalannak tűnik az ujjlenyomatok tárolásának módja.

A fenti esetet tekintve úgy tűnik, hogy a telepítéskor összegyűjtött különféle ujjlenyomat-benyomásokat önálló adatkészletként tárolják. Amikor ujjal pásztázza az eszköz feloldását, a szkennelést összehasonlítják a telepítéskor beolvasott ujjak bináris ábrázolásának tömbjével. Esetleg így tudtuk becsapni a telefont úgy, hogy a telepítéskor egy másik ember ujját pásztáztuk.

Úgy tűnik, hogy van egy koncepcionális és alapvető probléma a rendszer működésében.

Nem állíthatok olyan felhasználási esetet, ahol ez biztonsági réshez vezethet. De mivel az ujjlenyomat-alapú hitelesítés adaptációja gyorsan növekszik, és használata túlmutat az eszköz feloldásán, célszerű fejleszteni a hiányosság áthidalására szolgáló technológiát.

És mi lesz ezután?

A beállítás során az egymást követő ujjlenyomatokat összehasonlítani lehetett egymással annak biztosítása érdekében, hogy az összes rögzített pásztázás ugyanazon az ujjon legyen. Nyilvánvaló, hogy a különféle beolvasások között bizonyos százalékos az átfedés. Egy ilyen dolog megakadályozta Prateek Dwivedit abban, hogy az ujját pásztázza, amikor én megpróbáltam beállítani a telefont. Ez biztosította volna az ujjlenyomatok rögzítésének módját a beállítás során.

A visszakeresést biztonságosabbá tehetné, ha nem hasonlítaná össze a vizsgálatot az eszköz feloldásának feloldásával az előre tárolt vizsgálatok egyikével. Ideális esetben a beolvasás nagy mértékben hasonlít az egyik tárolt ábrázoláshoz, és bizonyos mértékig összehasonlítja az összes többi beolvasással is. Ahelyett, hogy csak egy optimális meccsre hagyatkoznánk, az összes ábrázolás összehasonlítása alapján kell pontoznunk. Az összehasonlítás összesített százalékos arányát figyelembe kell venni a hitelesítéshez.

Következtetés

Végezetül, amint azt előző blogomban rámutattam - „Bio-metrikus azonosítás és felhasználás a banki mobilalkalmazásokban:”

A biometrikus hitelesítés még nem elég biztonságos. Nemrégiben hajlandóságot és elmozdulást tapasztaltunk e technikák fizetéshez és pénzügyi tranzakciókhoz történő alkalmazása felé. A mobiltelefonok és az IoT-eszközök térnyerése tovább növelte a biometrikus hitelesítési technikák alkalmazkodását. Itt az ideje jobban belegondolni a biometrikus hitelesítési technológia biztonságosabbá és nehezebb megalkuvásáért.

Kövessen médiumon - Nikhil Dwivedi

A twitter kezelőm - @Niks_Dwivedi