Váš otisk prstu lze na dálku ukrást, některé snímače mají nízké zabezpečení

  • Synaptics upozornil na levné a jednoduché snímače otisků prstů
  • Kvůli absenci zabezpečení zpracování otisku lze otisk ukrást i na dálku a zfalšovat
  • Nutností je šifrování po celé trase a rozpoznání falešných otisků

Synaptic upozornila na problém, že ne všechny snímače otisku prstů jsou tak bezpečné, jak by se mohlo zdát. Obzvláště u levných a starších modelů hrozí riziko krádeže otisku pomocí několika různých technik a následnému zfalšování. Kvůli tomu se tak může hacker dostat do počítače i bez znalosti hesla a případně tak i třeba do celé firemní sítě. Řešením je zabezpečení proti získání otisku, tak i použití zfalšované verze snímaného povrchu prstu.

Biometrický systém zabezpečení má hlavní problém – ať už jde o otisk prstu nebo třeba dlaň či oko, jsou stále stejné. Biometrie tak slouží spíše k jednoduchému a rychlému ověřování, než skutečnému zabezpečení. Aby to ale hackeři neměli se získání kopií zmíněného otisku prstu moc jednoduché, je třeba dbát na vysoké zabezpečení nasnímaného otisku.

Nezabezpečená integrace senzorů

Synaptics uvádí, že mnoho výrobců notebooků používá levné a malé snímače otisků prstů, které dostatečně nezabezpečují data v rámci celé trasy. Případní hackeři tak mají několik způsobů, jak data o otisku získat.

Klasickým a nejtěžším způsobem je přímé napojení na senzor a čip, do kterého se snímek ukládá. Kvůli tomu je možné provést útok „man-in-the-middle“ a ukrást tak přímo snímek vašeho prstu – to nejcennější a nejdůležitější.

Klepněte pro větší obrázek

Za pouhých 25 dolarů (přibližně 750 Kč) se inženýrům ze Synaptics podařilo vyrobit miniaturní zařízení s mikrořadičem a Bluetooth čipem, které se napojilo právě mezi čip a desku notebooku. Bylo tak možné získat otisky a rovnou je vzdálené posílat útočníkovi. Na mobilním telefonu by tento způsob byl takřka nemožný, protože oproti notebookům zkrátka uvnitř není dostatek místa pro nějaké podobné zařízení. V notebooku je ale většinou dostatek prostoru (zařízení bylo prezentované na několika noteboocích).

Jakmile má útočník snímek prstu, je pochopitelně možné jeho opětovné vytvoření, a i když jde jen o kopii, levné senzory lze tímto velmi snadno obelhat.

Falešný otisk za pár minut

Synaptics ukázal, že falešný otisk prstu lze jednoduše vyrobit velmi rychle – během pár minut. Stačí na to klasická inkoustová tiskárna, fotopapír a vodivý inkoust.

I když je v případě falešného otisku prstu nutný fyzický přístup k danému notebooku nebo počítači, v případě hodnotného cíle to nebude pro útočníky takový problém (sociální inženýrství, krádež, falešný firemní servis a podobně).

SecureLink a PurePrint

Synaptics celou ukázku bral nejen z pohledu toho, že je nutné automaticky přejít na šifrování po celé trase (end-to-end), ale také jako reklamu na vlastní řešení v rámci technologie SentryPoint - SecureLink s šifrováním TLS 1.2 a AES 256-bit a PurePrint, což jsou speciální algoritmy, které dokáží odhalit falešný otisk prstu,

Klepněte pro větší obrázekKlepněte pro větší obrázek
Architektura technologií od Synaptics pro zabezpečené používání otisků prstů

Je ale nutné počítat s tím, že i hackeři se budou přizpůsobovat, takže bude nutné postupně zlepšovat i tyto technologie biometrického zabezpečení.

Foto: CPOA, CC BY-ND 2.0

Hesla jsou otrava, ale bez nich to nejde. Jaká zvolit a jak si je zapamatovat?

Diskuze (16) Další článek: Kdy se to šílenství zastaví? Bitcoin o víkendu překonal cenu 2 000 dolarů za kus

Témata článku: Notebooky, Bezpečnost, Biometrie, Hacking, Mobilní telefon, Šifrování, Prst, Dlaň, Biometrický systém, Klasický způsob, Hlavní problém, Levný notebook, Sociální inženýrství, Man in the middle, Speciální algoritmus, Snímač, Dostatek místa, AES, Synaptics, Rychlé ověřování, Bluetooth čip, Přímé napojení, Celá trasa, Opětovné vytvoření, Miniaturní zařízení, Notebooky na Heureka.cz



Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Šmírování kamerami Googlu: Koukněte, co nového se zase objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co nového se zase objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce
Mapy GoogleStreet View
9 nejlepších českých webů, kde lze stáhnout filmy a seriály

9 nejlepších českých webů, kde lze stáhnout filmy a seriály

** Když selžou legální zdroje, můžete se zkusit obrátit na služby pro stahování souborů ** Ulož.to není zdaleka jediné, které nabízí videoobsah ke stažení ** Konkurenční služby nabízí levnější placené účty

redakce
TipyHudba, filmy, seriályWeb
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Výsledky testů GeForce RTX 4090. Grafické monstrum s nesmyslným výkonem zesměšňuje všechny karty na trhu

Výsledky testů GeForce RTX 4090. Grafické monstrum s nesmyslným výkonem zesměšňuje všechny karty na trhu

** K dispozici jsou podrobné nezávislé testy nové grafické karty GeForce RTX 4090 ** Nvidia splnila sliby, mezigenerační skok ve výkonu je obrovský ** DLSS 3 přináší revoluci v počtu fps

Karel Javůrek
GeForce RTX 4000Grafické kartyNvidia
Powerfoyle je fotovoltaická vrstva, která vypadá jako dřevo, kůže nebo třeba plast. Už se prodává

Powerfoyle je fotovoltaická vrstva, která vypadá jako dřevo, kůže nebo třeba plast. Už se prodává

** Co kdyby fotovoltaický panel nevypadal jako fotovoltaický panel? ** Teď to zkouší švédský startup Exeger ** Vyrobil speciální vrstvu, kterou už mají první komerční produkty

Jakub Čížek
FotovoltaikaTechnologie
Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

** Z textových a obrázkových AI generátorů se stávají komerční služby ** Už to není experiment pro pár geeků a programátorů ** Právní experti začínají řešit, jestli náhodou neporušují autorské právo

Jakub Čížek
Autorské právoUmělá inteligence