aau訊(編輯 盧晶)像大多數生物識別系統一樣,指紋鎖可以提供足夠的保護,使其免受惡意攻擊,但犯罪分子可能會藉助工具對其進行破解,以獲取隱藏在智慧型手機或帳戶中指紋的個人數據。使用生物識別數據進行身份驗證並不是什麼新鮮事,面部識別、視網膜掃描和語音識別通常被用作密碼的替代品。但是在最近幾年中,3D列印技術使任何人都可以創建偽造的指紋,並使用它們來獲得對系統的未授權訪問。在8月8日舉行的DEFCON 2020虛擬安全會議上,Dreamlab Technologies的安全研究員及3D列印愛好者Yamila Levalle 介紹了如何使用僅基於紫外線樹脂的SLA 3D印表機和價值10美元的材料騙過手指認證。
據悉,生物識別系統容易受到各種各樣的攻擊,但是Levalle選擇專注於欺騙,這種欺騙是在欺騙傳感器而不是對其進行更換或篡改時發生的。這位專家稱,要找到匹配的對象,大多數指紋掃描儀都會使用複雜的算法來識別、測量和分析指紋特徵,「類似於通過恆星的相對位置識別部分天空。」 首先,她選擇嘗試一些繞過傳感器的傳統方法,例如使用橡皮糖和橡皮泥的油脂攻擊,以了解3D列印技術如何使這些攻擊更好、更快地進行。
為了測試3D列印的破解作用,Levalle使用了Anycubic Photon 3D DLP / SLA印表機;紫外線樹脂及數字增強潛在指紋的軟體;3D CAD設計工具(例如Tinkercad)以及在玻璃中的潛在指紋或在紙中的指紋墨水。
要獲得有效的指紋,需要進行深入的操作指南,其中包括使用具有宏功功能的數位相機抬高潛在指紋,然後使用數字增強工具(例如Python)或任何種類的圖形軟體,以優化線條。增強的JPG文件轉換為SVG(可縮放矢量圖形)文件後,可以將其導入Tinkercad,在其中配置尺寸和脊高以創建指紋的3D模型。Levalle聲稱,這是最重要的步驟,請確保根據原始潛在指紋的尺寸來列印指紋的長度和寬度,因為正確的凸脊高度將允許假指紋在不同的傳感器和掃描儀中工作。通常,指紋突出部分高度在20到60微米之間,因此對於此特定研究,基於25微米精度的UV樹脂設備可勝任。
最後,Levalle建議創建兩個不同的3D模型,一個用於鑄造的陰圖或空心模型,用於直接測試的一個正模。然後關閉3D印表機。完成列印後,將它們在異丙醇中沖洗,並使用紫外線燈或直射陽光進行後固化。為了鑄造手指,在3D列印的空心模具中只填充了幾滴液態乳膠或木膠(聲稱較薄的假手指比較厚的假手指更有效),並且在乾燥後固化成橡膠狀稠度。
對此,Levalle進行了十次嘗試,以實現最佳的印表機設置和脊高。在她創建的兩個選項中,從液態乳膠或木膠澆鑄的3D模具中獲得的指紋適用於四個傳感器,從三星S10智慧型手機中使用的最新超聲指紋掃描技術到舊的光學指紋傳感器模型,儘管這裡她需要將可可脂潤唇膏或凡士林塗在假指紋上,以使傳感器真正識別出來。另一方面,直接在UV樹脂上列印的3D模型,但僅在超聲傳感器和光學元件中起作用,這主要是由於樹脂的硬度未能被識別為手指。
智慧型手機、筆記本電腦、掃描儀和其他設備中的生物識別技術漏洞通常會吸引安全專家的注意,這些專家已經確定了嚴重的隱私泄露問題以及犯罪分子可以破壞這些系統的方式。28年來,DEFCON是全球規模最大、歷史最悠久的網絡安全會議,聚集了網絡安全領域的權威專家和創新者,就新興技術面臨的威脅以及如何防禦這些威脅提供了新的觀點。2020年會議是有史以來第一次改期,因為原定於8月6日至9日舉行的活動由於COVID-19大流行而被取消。
與過去的許多DEFCON演示一樣,黑客說明非常詳細,可以由經驗豐富的安全專家複製。過去,拉斯維加斯DEFCON的與會者可以參加許多演示,從使用指南到在45分鐘內破解20台設備,再到駭人聽聞的針對政府系統的黑客故事(被視為任何人的必看之選)。Levalle的演講重點介紹了在主導不同市場的系統中的各種漏洞,其中大多數似乎正在迅速發展。預計到2023年,僅15億移動用戶將依靠生物識別安全,近60%的企業 使用指紋掃描技術,很明顯,生物識別認證只會增加,威脅也會隨之增加。
「在數據公司經歷了由生物識別發生的幾次信息泄漏後,我感到有動力去做這項工作,並展示了實際進行攻擊所需的步驟。在2019年的一次網絡安全競賽中,我目睹了一個團隊設法破解了指紋傳感器,但是關於其操作方法的信息並不多,只是他們在玻璃上拍攝了指紋的照片,然後20分鐘後,他們製作出了假指紋。因此,我嘗試使用自己的設備在家中複製此文件,並選擇與同事在此平台上發布白皮書。」 Levalle解釋說。「這是提高生物識別安全性的好方法,它可以檢測出欺騙攻擊中使用的假指紋。」
為了檢測對指紋系統的顯示攻擊,包括Levalle在內的一組研究人員建議分析樣品的清晰度、顏色、亮度水平、結構變形、局部偽影、吸光度、材料彈性和水分含量。但是,即使掃描儀和安全專家變得越來越有能力檢測偽造的生物特徵數據,但網絡犯罪分子也在改善技術以製造更好的偽造品,並繼續致力於數據盜竊。