Рубрика развивается при поддержке
Advertisement

Специалисты обошли сканер отпечатков пальцев в MacBook и iPad с помощью плёнки и клея Статьи редакции

Точность распознавания — около 80%.

Аутентификация по отпечатку пальца — это удобная альтернатива вводу пароля или PIN-кода. Однако исследователи кибербезопасности из Kraken Security Labs продемонстрировали, что защиту можно обойти при помощи дешёвых расходных материалов.

Для взлома устройств специалистам даже не понадобился прямой доступ к отпечатку пальца владельца — только фотография поверхности, к которой он прикоснулся.

Её обработали в Photoshop, сделав монохромной, и распечатали на ацетатной плёнке на лазерном принтере. Тонер придал изображению трёхмерную структуру, а столярный клей «оживил» отпечаток.

Мы провели успешную «атаку» на большинство тестируемых устройств, включая iPad и MacBook Pro. При настоящем взломе, у нас был бы доступ к огромному количеству конфиденциальной информации.

Kraken Security Labs

Kraken — не единственная лаборатория, которой удалось обмануть дактилоскопический сенсор. В 2020 году Cisco Talos опубликовала отчёт с описанием похожего метода. В обоих случаях точность распознавания составила около 80%.

Эксперты отметили, что большинство пользователей вряд ли столкнётся со взломом, но при желании воспроизвести отпечатки пальцев нетрудно — они остаются на любых поверхностях, от бокала в ресторане до двери такси.

Рекомендации — не рассматривать сканер в качестве безопасной альтернативы надёжному паролю и использовать его только при двухфакторной авторизации.

Стоит отметить, что производители устройств регулярно совершенствуют алгоритмы идентификации. Ранее Google объяснила медленную работу подэкранного датчика в Pixel 6 «алгоритмами повышенной безопасности».

0
115 комментариев
Популярные
По порядку
Написать комментарий...
Огненный велосипед

Я такое в шпионских фильмах видел, думал, что не работает, а вот умельцы появились))

117

Всё еще жду реализации этого метода

186
Огненный велосипед

Для этого уже dlss есть

47

Дык уже есть, я старое отсканированное фото мамы так улучшил, даже похоже получилось)

25
Огненный велосипед

С более низким качеством скорее всего получилось бы так.

49

Так это же мой сосед Вася

0

Так вот кто в подъездах ссыт..

0

Что за прога?

0

Глаза явно от кого-то другого. Просто прилеплены/отрисованы по наиболее точному совпадению. Как и губы. Как и нос. Как и всё.

1

Спасибо

0

Мне кажется веки/глаза заруинены. Т.е. они выглядят-то хорошо, но по форме не похожи на оригинальное фото.

0

Да, но я бы сказал, довольно близко

0

Rofl

0

в "человеке-муравье" было подобное

10

А задолго до него в Ангелах Чарли.

2

И тут

11

Хуя ты вспомнил.

2

Олды на месте 😎

0

в фильме с одним бельгийским пареньком было подобное

7

Так он же себе подушечку с пальца срезал

6

Там надо ещё ванну на верёвках из постельного белья поднимать и учиться долго дыхание задерживать… Потом режешь подушечку, ныряешь в воду с лазерами… ищешь негрилу с чудной прической… Прыгаете с ним с самолёта в надувном шаре… и на последок самое изи, бьёшь еблет Микки Рурку в зоопарке что б тигр за вами бегал параллельно и Микки на мину противопехотную заставляешь наступить👍🏻

Опционально можно ещё супер-секретный грузовик угнать где-нибудь💁🏻‍♂️

Думаю после этого дерьма мак-бук разблокируется👍🏻

3

бьёшь еблет Микки Рурку в зоопарке

в колизее! ☝️

В целом, вполне себе реалистичный кейс.

2

Ах да… Сорян… вечно такие мелкие детали упускаю…

0

Так-то тоже вариант.

3

Локпикинлоер открыл бы его одним магнитом за пять секунд.

32

Два раза, чтобы мы не подумали, что it was a fluke.

33

Жена локпикинглоера открыла бы за секунду, если бы узнала, что внутри мака хранится её любимое мороженое.

9

ну тут все-таки не механический замок, магнит не прокатит, но да, надежность бытовых сканеров пальца околонулевая

–1
Огненный велосипед

И в этом 3 главных недостатка биометрии, как средства аутентификации:

1) На всех сайтах, устройствах и т.д. у тебя 1 и тот же способ авторизации. Если сравнивать с паролями, то это как 1 пароль на всё. Если пароль утёк в 1 месте, то утёк везде. И навсегда (смотри следующий пункт).

2) Не сменяемость. Пароль можно поменять. А отпечатки пальцев, внешность и голос с тобой навсегда. Достаточно 1 раз скопировать твои пальчики, отсканировать лицо или записать образцы голоса. И всё. Больше уже никогда нельзя считать этот метод надёжным. У злоумышленника уже способ авторизоваться во все твои сервисы. Достаточно получить физический доступ к ломаемому устройству.
В отличие от биометрии пароль или электронный ключ всегда можно сменить.

3) Простота получения доступа. Отсканировать отпечатки легко - ты их оставляешь везде. Записать голос очень легко - ты говоришь вслух в общественных местах. Отсканировать лицо незаметно для тебя чуть сложнее, но тоже реально.
Пароль конечно тоже можно подсмотреть, но всё же он обладает важным качеством - сменяемостью.

35

Читал об этих минусах в ещё каких-то старых журналах 20-летней давности.

0
Огненный велосипед

Тогда это были теоретические грабли на которые можно наступить. Сегодня мы уже в них вступили.
И ладно на телефоне у тебя отпечаток пальца, который по идее никуда не передаётся и просто позволяет авторизоваться с этого конкретного устройства. Но когда речь об инициативах сбера по голосовой аутентификации по телефону волосы встают дыбом.

19

Ага а потом мошеники названивают, тцт тактика одна, максимально быстро сбросить звонок

0

"На всех сайтах, устройствах и т.д. у тебя 1 и тот же способ авторизации".
А откуда утечка может совершиться? Я может не прав и не так понял, но например сервисы автозаполнения (такие как samsung pass) хранят биометрию только у себя, сайтам они отдают только логин / пароль, подтвержденнве биометрикой.

0
Огненный велосипед

А откуда утечка может совершиться?

С любого предмета к которому ты прикоснулся.
Имея твой слепок отпечатков пальцев многое можно натворить и с личными устройствами. Просто представь, слили твой отпечаток пальцев один раз. И каждый твой телефон\ноутбук\планшет с авторизацией через пальцы теперь даже взламывать не надо. Нужен просто физический доступ к девайсу. ред.

5

Из сервисов автозаполнения не может быть утечки?

2

Ну так там было упомянуто про биометрику на всех сайтах, следовательно я и задал вопрос. А так да, конечно может, но шансов утечки явно поменьше

0

только фотография поверхности, к которой он прикоснулся.

А это не прямой доступ к отпечатку? Кто-то выкладывает высококачественные фото мест куда они прикасались в интернет? Не поверю, что можно снять полноценный отпечаток с рандомной фотки человека, да еще с учетом того, сколько сейчас телефоны автофильтров накладывают, а потом как эти фото шакалятся при заливке куда-либо.

6

При чем тут фото? Фото отпечатка владельца прям с самого устройства. Имеется в виду сценарий, когда устройство украдено (и на нем есть отпечатки владельца) или мы находимся с владельцем в одном месте и видим, чего он касался - делаем фото отпечатков.

21
Огненный велосипед

А в самом посте они сняли отпечаток с макбука?

0

Сфотографировали отпечаток на макбуке

1

у тех у кого есть база отпечатков, легко получат доступ. А в будущем, в теории со всех будут снимать отречаткии кодировать их в мультипасспорь.

9

Госуслуги дырявые. Поэтому только пин код ,только хард кор

0

так отпечаток скорее всего на самом сенсоре макбука и остался. люди обычно за собой их не протирают)

0
Огненный велосипед

Ух ты, подтвердили очевидное, какие молодцы
Оказывается отпечаток можно взломать сделав точно такой же отпечаток

Следующим шагом они попробую обмануть FaceID с помощью близнеца?

9

Чтобы спиздить доступ достаточно выхватить телефон и навести на владельца экран тащемта

0
Огненный велосипед

Если владелец закроет глаза или не будет смотреть прямо в телефон - нифига не выйдет

4

на том же iPhone можно отключить распознавание внимания. Но по дефолту оно включено.

0

Они просто глянули серию в «Мистер Робот»

9

Всё что угодно они глянули

3

Полицаи по всему миру после таких новостей воспряли духом просто

2

Им достаточно терморектальный криптоанализатор показать, даже не начать применять, и им сами все откроют в 90% случаев, ещё 9% откроют после применения.

20

Традиционный xkcd.

6

Ещё 1% попросит повторить.

3

Или стеклянную емкость для хранения жидкостей.

2

Так и думал. С профессиональными банковскими, корпоративными системами охраны может и не прокатило бы. А все эти убогие гаджеты для любителей скрывать свою невероятно увлекательную и важную переписку, да фоточки члена - это туфта полная.

–8

А зачем обычному пользователю защита уровня банка? Если у него и украдут ноут, то вряд ли смогут повторить всё это

22

На маках сидят мультимиллионеры с программным кодом на сотни тысяч долларов

1

там просто мак на смузи меняешь и все, не заметит

3

так код же в гите

0

Он настолько секретный, что хранится на харде

0

Обычно он хранится на внешнем харде, а не внутреннем

0

В облаке мейла, на акционном однотеррабайтном облаке мейла

5
Огненный велосипед

Нафига прятать фотки члена, если их по запросу отправляешь кому угодно?

1

Literally Scooby Doo

6

Эх, эти актёры из слэшеров конца 90-х...

3

Kraken — не единственная лаборатория, которой удалось обмануть дактилоскопический сенсор.

Лаборатория, занимающаяся взломом техники. Ожидания (скриншот) и реальность (фотошопят отпечаток и прикладывают)

3

Подобный «взлом» даже в разрушителях мифов проверяли

0

Как говорится, пальцев 10, а комбинаций цифр - дохуя

1
Огненный велосипед

Я такой параноик, что чет стремаюсь паролем разлочивать телефон в общественных местах из-за камер, больше face id доверяю

0

"параноик"
"Доверяю face id"
Неправильно ты, дядя Федор, параноишь

16
Огненный велосипед

Я же написал «больше»

0

Больше системе, которая тебя сдаст маркетолухам, копам и тому чуваку, которому ты вчера в интернетах нагрубил
Меньше длинному ряду цифр, которые могут подсмотреть чисто случайно, хрен запомнят скорее всего и которые можно в любой момент поменять
Ок, чо =)

0

То есть вы верите что если поставите суперзащищённый пароль, то защитите свои данные от владельцев платформы? Забавно.

1

Конечно нет, мне вообще всё равно. Хоть с раскрытыми паспортом ходите. Так, покекал с неправильной паранойи и дальше вниз пошел по дтфу

0

Ок, тогда не возражаете если я покекаю с вас и вашей наивной веры в пароли на современных смартфонах?

1

На здоровье!

1
Огненный велосипед

Какой вообще смысл использовать пароль, если по твоей логике система сдаст меня кому угодно? Причём тут вообще система? Мне срать на маркетологов и рептилоидов, я не хочу чтоб мент без моего ведома лез в мой телефон. И с чего ты взял, что эпл сливает инфу о всех

0

С чего ты взял, что не сливает? Еще не привык, что юзера поимеют при любом удобном случае?

0

Твое лицо давно сняли фотограмметрией

0

фотография поверхности, к которой он прикоснулся. Её обработали в Photoshop, сделав монохромной, и распечатали на ацетатной плёнке на лазерном принтере. Тонер придал изображению трёхмерную структуру, а столярный клей «оживил» отпечаток.

нет смысла акцентировать внимание на чьей технике так сделали, думаю так примерно на всех сканерах сработает

2

Эппл: создают технологию аутентификации по отпечатку пальца
Хакеры:

2
Огненный велосипед

Именно поэтому раз в двое суток iPad (про Mac с TouchID не знаю) просит ввести пароль, чтобы дальше продолжить разблокироваться пальцем.

1

зачем так сложно? достаточно вот так ред.

0
Огненный велосипед

Говори пароль или отрежу палец!

2

а ты знаешь, что порой отпечатка не достаточно? ведь чтобы поменять пароль так или иначе нужен пароль

0

Только по забору крови, как в гаттаке или ультрафиолете, или этом...как его....где эмой не было. Тогда может быть люди реже начнут браться за телефон чтобы его разблокировать. :)

0

в чужом, дышали на замок.

1

Так кровь тоже можно добыть незаметно или почти незаметно. Ну или воссоздать.

0

Подойти и уебать в нос. Незаметно, что добывался образец крови)

0

Способ борьбы - убирать палец с этой кнопки смазывающим движением в сторону.
А так-то довольно трудно найти и сфоткать за человеком четкий отпечаток подушки указательного пальца, разве что с мышки. Но на макбуках ею почти никто не пользуется.

0

Просишь человека подержать твою бутылочку пепси, пока ты завяжешь шнурок...
PROFIT...

1

еще в «Побеге» спецагенты так отпечатки переносили пленкой

0

А как же фишка с проверкой пульсации крови в капиллярах пальца? Или её так и не завезли?

0

лет 10 назад Разрушители легенд проверяли как такие штуки можно взломать, самые простые считывли даже распечатку с бумажки, самый сложный на тот момент взломали силиконовой копией пальца, которую предварительно нагрели

0

Под пленкой будет палец взломщика и усе.

0

Боянистый прикол, о том что грабители айфонов отнимают не только сам телефон но и палец.

0

посмотрели Красное уведомление?

0

Какие то боянистые рисерчи у этих ребят из кракен лабс..
Год назад Cisco’s Talos security group делали точно такой же рисерч с теми же выводами.
2 года назад тенсент делал тот же рисеч.
Вангую через годик еще какая нибудь секьюрити контора взломает сканер отпечатков копией отпечатка…

0

Ну да, рисерчи были, но эпол так и не почесалась. Заебись)

0

Как и самсунг.
Как и все остальные компании которые ставят сканеры отпечатков.

Но некоторым лишь бы про эпол плохо написать, забавно)

0

Эпол больше всех, как мне кажется, напирает на свою невьебенную заботу о клиенте)
пс. так то я все корпорации считаю пидорасами.

0

Другие компании открыто пишут как им насрать, да? Или есть какие то конкретные цифры?

0

Эпол больше всех, как мне кажется

напирает на свою невьебенную заботу о клиенте

встань с экрана и перестань читать жопой.

0

Пересать писать жопой комменты тогда

0

Хорошая попытка)

0

Хоть какая-то польза от Ковида. Ходишь с антибактериальными средствами и/или в перчатках :)

0

С перчаток тоже можно отпечаток снять

0

Комментарий удален

Теперь черёд сканеров сетчатки глаза.

P.S
Забавно, что в Симпсонах шутили об этом как минимум два раза (второй был с рыбой, похожей на Бёрнса).

0

А что тут удивляться, ведь они копию сделали

0

а после этого станет легче взламывать устройства?

0
Огненный велосипед

пфф.
я такую хуету видел в человеке муравье.

0

Бл*ть. Ровно такие же фейки появлялись и когда Touch ID и затем Face ID появились.

0
Читать все 115 комментариев
null