Az ujjlenyomat-érzékelők a modern okostelefonokat a kényelem csodákká tették. Ujjnyomással feloldja a telefont - nem szükséges jelszó. Az olyan szolgáltatásokkal, mint az Apple Pay vagy az Android Pay, az ujjlenyomat vásárolhat egy zacskót élelmiszert, egy új laptopot vagy akár egy 1 millió dolláros vintage Aston Martin. Az ujj lenyomásával egy banki alkalmazásban lehetővé válik a felhasználó számára számlák fizetése vagy ezer dollár átutalása.
Noha az ilyen varázslás kényelmes, emellett elvágó biztonsági lyukat is hagyott.
Új eredmények közzétett hétfőn a New York-i Egyetem és a Michigan Állami Egyetem kutatói szerint az okostelefonok könnyen megtéveszthetők hamis ujjlenyomatokkal, amelyek digitálisan állnak az emberi nyomatok sok közös jellemzőjéből. A számítógépes szimulációk során az egyetemek kutatói képesek voltak kidolgozni egy mesterséges „MasterPrints” készletet, amely megfelelhet a telefonok által használthoz hasonló valós nyomatoknak, akár az idő 65 százalékában.
A kutatók nem tesztelték megközelítésüket valós telefonokkal, és más biztonsági szakértők szerint a mérkőzés aránya lényegesen alacsonyabb lenne a valós körülmények között. Ugyanakkor az eredmények aggasztó kérdéseket vetnek fel az okostelefonok ujjlenyomat-biztonságának hatékonysága kapcsán.
"Ez szinte biztosan nem olyan aggasztó, mint ahogy bemutatták, de szinte biztosan nagyon rossz." - mondta Andy Adler, a kanadai Carleton Egyetem rendszer- és számítógépes mérnöki tanára, aki a biometrikus biztonsági rendszereket tanulmányozza. "Ha csak azt szeretném, ha elviszem a telefonod, és az Apple Pay segítségével vásárolok cuccokat, ha be tudok kerülni az 1-re az 10 telefonokban, ez nem rossz esély."
A teljes emberi ujjlenyomatokat nehéz meghamisítani, de a telefonok ujjlenyomatai olyan kicsik, hogy csak részleges ujjlenyomatot képesek olvasni. Amikor a felhasználó ujjlenyomat-biztonságot állít be Apple iPhone vagy egy olyan telefon, amelyen a Google Android szoftverét futtatják, a telefon általában egy nyolc – 10 képből készít egy ujját, hogy megkönnyítse a meccset. És sok felhasználó egynél több ujját rögzít - mondjuk, mindkét kéz hüvelykujját és mutatóujját.
Mivel az ujjcsúsztatásnak csak egy tárolt képnek kell megfelelnie a telefon feloldásához, a rendszer ki van téve a hamis egyezéseknek.
"Úgy tűnik, mintha 30 jelszavakkal rendelkezne, és a támadónak csak egyet kell egyeznie" - mondta Nasir Memon, a NYU Tandon Műszaki Iskola számítástechnikai és mérnöki tanszékének professzora, aki a tanulmány három szerzője. IEEE tranzakciók az információs kriminalisztika és biztonság területén. A többi szerző Aditi Roy, a NYU Tandon Iskola posztdoktori ösztöndíja, és Arun Ross, a Michigan állam informatikai és mérnöki professzora.