Cisco Talos araştırmacıları, cam yüzeyinde bir parmak izini basıp sistemi kandırabilecek bir kalıp yaparak teknolojinin kırılabileceğini gösterdiler. Araştırmacılar, birçok cihazı kandırmak için sahte parmak izleri oluşturmanın bir yolunu buldular.
Yıllar boyunca, parmak izi tabanlı yetkilendirmenin güvenliği önemli bir tartışma konusu oldu. 2013 yılında, iPhone 5S’in TouchID ile piyasaya sürülmesinden kısa bir süre sonra, araştırmacılar cam yüzeyinde bir parmak izini basıp sistemi kandırabilecek bir kalıp yaparak teknolojinin kırılabileceğini gösterdi. Ancak teknoloji asla yerinde saymaz ve bu konudaki gelişmeler gelecek için umut oldu.
Örneğin, geçtiğimiz yılda üreticiler akıllı telefonları ekranın altında gizlenmiş ultrason parmak izi tarayıcılar koymaya başladı. Böylece ek panellere olan ihtiyacı ortadan kaldırdılar ve telefonlar en azından teoride daha güvenli oldular.
Cisco Talos araştırmacıları, modern cihazlarda çeşitli parmak izi tarayıcılarının ne kadar kolay kırılabileceklerini veya teknolojinin ne kadar güvenli olup olmadığını görmeye karar verdiler.
Araştırmacılar Parmak İzlerini Nasıl Taklit Ettiler?
Bir parmak izinin fiziksel bir kopyasını oluşturmak için öncelikle bir parmak izi edinmeniz gerekir. Araştırma ekibi bunu yapmanın üç ayrı yolunu keşfettiler. Bunlar:
-
Yöntem 1: Bir kalıp yapın
Örneğin kurban bilinçsiz olduğunda hedef parmak izinin bir kalıbını almak mümkündür. Ayarlanan herhangi bir yumuşak malzeme uygundur. Örnek verilecek olursa oyun hamuru kullanılabilir.
Daha sonra bir saldırgan sahte bir parmak ucu yapmak için hamuru kullanabilir. Asıl zorluk, saldırganın mağdurun uygun bir durumda ve fiziksel olarak erişilebilir olmasına ihtiyacı vardır.
-
Yöntem 2: Bir tarayıcı görüntüsü bulun
Başka bir yol ise bir tarayıcı ile alınan bir parmak izi elde etmektir. Bu yöntem teknik olarak daha karmaşıktır fakat hırsızları sevindirecek bir haber var. Biyometrik verileri işleyen tüm şirketler bu verileri güvenilir bir şekilde saklamıyorlar. Bu nedenle, taranan parmak izlerini çevrimiçi olarak bulmak veya darknet üzerinden ucuza satın almak pek de imkansız değildir.
Ardından, düz olan bu görüntü bir 3D modeline dönüştürülmeli ve bir 3D yazıcıda yazdırılmalıdır. İlk olarak, araştırmacıların çizimi yarattığı program çizimin boyutunu ayarlamalarına izin vermedi. İkinci olarak, bütçe 3D yazıcıda kullanılan fotopolimerin baskıdan sonra ısıtılması gerekiyor. Bu da modelin boyutlarını değiştiriyor.
Üçüncü olarak ise, araştırmacılar nihayet uygun bir model yapmayı başardıklarında modelin yapıldığı polimerin çok sert olduğu anlaşılıyor ve dolayısıyla bu modelle hiçbir tarayıcı kandırılamıyor. Çözüm olarak, araştırmacılar bir parmak modeli yerine daha esnek bir malzemeden protez bir parmak yapmak için kullandıkları bir döküm yazdırmaya karar verdiler.
-
Yöntem 3: Cam yüzeyinde parmak izinin fotoğrafını çekin
Başka bir ve aynı zamanda en basit olan seçenek ise cam yüzeydeki hedef parmak izinin fotoğrafını çekmektir. iPhone 5S’de olan şey tam olarak bu oldu. Görüntü, gerekli netlik seviyesini elde etmek için işlenir ve daha önce olduğu gibi bir 3D yazıcıya yazdırılması için gönderilir.
Araştırmacıların da belirttiği üzere 3D baskı ile yapılan deneyler uzun ve sıkıcıdır. Yazıcıyı kalibre etmek ve deneme yanılma yoluyla doğru boyutlu kalıbı bulmak zorunda kaldılar ve her modelin gerekli ayarlarla toplamda 50 gerçek baskıyı yapılması bir saat sürdü. Bu nedenle, çalıntı bir akıllı telefonun kilidini açmak için sahte bir parmak izi yapmak hızlı bir şekilde yapılabilecek bir işlem değildir. Uyuyan bir kurbanın parmak izini kopyalamak da süper hızlı bir yöntem değildir.
Parmak izini üretmek için kalıp yapmak sürecin sadece yarısıdır. Modelin kendisi için malzeme seçiminin oldukça zordur çünkü sahte parmak izi her biri farklı bir parmak izi okuma yöntemine sahip üç tip sensöre test edilebilmek için bağlandı. Örneğin, bir malzemenin akımı iletip iletemediği ultrasonik ve optik sensörler için önemsizdir fakat bu durum kapasitif tip için geçerli değildir.
Ancak, sahte parmak izi yaratma sürecinde bu kısma herkesin erişimi vardır: Sahte parmak izi için en iyi malzeme ucuz kumaş tutkalıdır.
Sahte Parmak İzleriyle Hangi Cihazlar Kırılıyor?
Araştırmacılar, sahte parmak izlerini farklı üreticilerin akıllı telefonları, tabletleri, dizüstü bilgisayarları ile bir akıllı kilit ve parmak izi sensörü (Verbatim Fingerprint Secure ve Lexar Jumpdrive Fingerprint F35) ile korunan iki USB sürücü üzerinde test etti.
Sonuçlar oldukça hayal kırıklığına uğrattı. Akıllı telefonların ve tabletlerin büyük bir çoğunluğu %80-%90 oranında kandırıldı ve bazı durumlarda başarı oranı %100’ü buldu. 3D baskı kalıplar bu ölçeğin daha az etkili olan yöntemler tarafında yer alıyor olsa da yukarıda açıklanan üç yöntemin de aslında oldukça iyi çalıştığını düşündüğünüzde aradaki fark fazla değildi.
Ancak istisnalar vardı. Örneğin, araştırma ekibi Samsung A70 akıllı telefonunu kırmayı tam anlamıyla çözemedi. Bu ilginçtir çünkü A70 kendi asıl sahibini tanımama olasılığı en yüksek akıllı telefondur.
Üreticilerinden bağımsız olarak Windows 10 işletim sistemine sahip cihazlar da kırılamadı. Araştırmacılar, Windows 10 işletim sistemine sahip cihazlardaki kırılamama konusundaki bu dikkat çekici tutarlılığı, işletim sisteminin kendisinin parmak izi eşleştirmesini yapması ile açıklıyor ve cihaz üreticisi ile alakası olmadığını belirtiyor.
Bu arada, korumalı flash sürücüler isimlerine layık olduklarını kanıtlasalar da meslektaşlarımız bu sürücülerin daha sofistike bir saldırıya maruz kalabilecekleri konusunda uyarıyorlar.
Son olarak, bütün cihazlar arasında kırması en kolay olanlar ultrasonik parmak izi tarayıcıları oldu. 3D görüntü algılama yeteneklerine rağmen, gerçek bir parmak sahte baskı üzerinden sensöre okutulduğunda ultrasonik parmak izi tarayıcıları sahte baskıları orijinal olarak okuyorlar.
Sıradan Kullanıcılar İçin Parmak İzi Koruması Nasıl Olmalı?
Araştırmacılara göre, parmak izi tabanlı yetkilendirmenin güvenliği arzulanan bir şey bırakıyor ve durum bir önceki yıla göre daha da kötüleşti.
Bununla birlikte, sahte bir parmak yapmak en azından zaman açısından oldukça pahalı bir süreçtir, bu da sıradan kullanıcının korkacak hiçbir şeyi olmadığı anlamına gelir. Ancak, iyi finanse edilen bir suç grubunun veya istihbarat servisinin hedefinde olursanız burada hikaye farklı bir hal alır. Bu durumda, tüm cihazlarınızı iyi bir şifre ile korumak en iyisidir. Sonuçta, güçlü bir şifreyi kırmak daha zordur ve yanlış ellere düştüğünden şüpheleniyorsanız şifrenizi her zaman değiştirebilirsiniz.
İlk yorum yapan olun