Váš otisk prstu lze na dálku ukrást, některé snímače mají nízké zabezpečení

  • Synaptics upozornil na levné a jednoduché snímače otisků prstů
  • Kvůli absenci zabezpečení zpracování otisku lze otisk ukrást i na dálku a zfalšovat
  • Nutností je šifrování po celé trase a rozpoznání falešných otisků
Váš otisk prstu lze na dálku ukrást, některé snímače mají nízké zabezpečení

Synaptic upozornila na problém, že ne všechny snímače otisku prstů jsou tak bezpečné, jak by se mohlo zdát. Obzvláště u levných a starších modelů hrozí riziko krádeže otisku pomocí několika různých technik a následnému zfalšování. Kvůli tomu se tak může hacker dostat do počítače i bez znalosti hesla a případně tak i třeba do celé firemní sítě. Řešením je zabezpečení proti získání otisku, tak i použití zfalšované verze snímaného povrchu prstu.

Biometrický systém zabezpečení má hlavní problém – ať už jde o otisk prstu nebo třeba dlaň či oko, jsou stále stejné. Biometrie tak slouží spíše k jednoduchému a rychlému ověřování, než skutečnému zabezpečení. Aby to ale hackeři neměli se získání kopií zmíněného otisku prstu moc jednoduché, je třeba dbát na vysoké zabezpečení nasnímaného otisku.

Nezabezpečená integrace senzorů

Synaptics uvádí, že mnoho výrobců notebooků používá levné a malé snímače otisků prstů, které dostatečně nezabezpečují data v rámci celé trasy. Případní hackeři tak mají několik způsobů, jak data o otisku získat.

Klasickým a nejtěžším způsobem je přímé napojení na senzor a čip, do kterého se snímek ukládá. Kvůli tomu je možné provést útok „man-in-the-middle“ a ukrást tak přímo snímek vašeho prstu – to nejcennější a nejdůležitější.

Klepněte pro větší obrázek

Za pouhých 25 dolarů (přibližně 750 Kč) se inženýrům ze Synaptics podařilo vyrobit miniaturní zařízení s mikrořadičem a Bluetooth čipem, které se napojilo právě mezi čip a desku notebooku. Bylo tak možné získat otisky a rovnou je vzdálené posílat útočníkovi. Na mobilním telefonu by tento způsob byl takřka nemožný, protože oproti notebookům zkrátka uvnitř není dostatek místa pro nějaké podobné zařízení. V notebooku je ale většinou dostatek prostoru (zařízení bylo prezentované na několika noteboocích).

Jakmile má útočník snímek prstu, je pochopitelně možné jeho opětovné vytvoření, a i když jde jen o kopii, levné senzory lze tímto velmi snadno obelhat.

Falešný otisk za pár minut

Synaptics ukázal, že falešný otisk prstu lze jednoduše vyrobit velmi rychle – během pár minut. Stačí na to klasická inkoustová tiskárna, fotopapír a vodivý inkoust.

I když je v případě falešného otisku prstu nutný fyzický přístup k danému notebooku nebo počítači, v případě hodnotného cíle to nebude pro útočníky takový problém (sociální inženýrství, krádež, falešný firemní servis a podobně).

SecureLink a PurePrint

Synaptics celou ukázku bral nejen z pohledu toho, že je nutné automaticky přejít na šifrování po celé trase (end-to-end), ale také jako reklamu na vlastní řešení v rámci technologie SentryPoint - SecureLink s šifrováním TLS 1.2 a AES 256-bit a PurePrint, což jsou speciální algoritmy, které dokáží odhalit falešný otisk prstu,

Klepněte pro větší obrázekKlepněte pro větší obrázek
Architektura technologií od Synaptics pro zabezpečené používání otisků prstů

Je ale nutné počítat s tím, že i hackeři se budou přizpůsobovat, takže bude nutné postupně zlepšovat i tyto technologie biometrického zabezpečení.

Foto: CPOA, CC BY-ND 2.0

Témata článku: Notebooky, Bezpečnost, Mobilní telefon, Hacking, Šifrování, Biometrie, Prst, Sociální inženýrství, Levný senzor, Přímé napojení, Levný notebook, Nízké zabezpečení, Hlavní problém, AES, Podobné zařízení, Synaptics, Levný model, Otisky prstů, Dálka, Otisk, Miniaturní zařízení, Snímač otisků, Biometrické zabezpečení, Notebook, Speciální algoritmus

18 komentářů

Nejnovější komentáře

  • Lolofon 22. 5. 2017 23:27:04
    To je tak, ked niekto pouziva veci na ucely, na ktore neboli vytvorene....
  • dolph1888 22. 5. 2017 12:49:47
    Ukrást a zfalšovat lze jakoukoliv biologickou informaci, klidně i část...
Určitě si přečtěte

CCleaner: Ještě větší průšvih, než jsme si mysleli

CCleaner: Ještě větší průšvih, než jsme si mysleli

** Nejprve to vypadalo jako vážný, ale jen izolovaný problém ** Pak se to nafouklo do obřích rozměrů ** CCLeaner má problém a Avast ostudu

Dnes | Polesný David, Čížek Jakub

Začalo velké zbrojení. Všichni se připravují na studenou i horkou kyberválku

Začalo velké zbrojení. Všichni se připravují na studenou i horkou kyberválku

** V Brně se konal CyberCon ** Součástí dnešní obrany nemůže být pouze tradiční armáda ** Hybridní válka v kyberprostoru může napáchat stejné škody

Včera | Polesný David, Čížek Jakub | 3

Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač

Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač

** Běžný ransomware spočívá v uzamknutí počítače a požadování výkupného ** Nový vzorek však místo platby v Bitcoinech chce nahé fotky ** Může jít jen o vtípek bez reálného zašifrování dat

Včera | Janů Stanislav | 12

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

** Chyba v CCleaneru je závažnější, než se zdálo ** Update na novou verzi nemusí stačit ** Přinášíme detaily

21.  9.  2017 | Janů Stanislav | 55

CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu

CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu

** Do Brna se sjeli experti na kybernetickou bezpečnost ** Kritizovali český e-gov a nekompetentní lídry ** Studená kyberválka zítřka je realita

21.  9.  2017 | Čížek Jakub | 9