24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Создан новый алгоритм обхода биометрии по отпечаткам пальцев

Биометрию нередко рассматривают как способ надёжной аутентификации в различных системах. Особенна популярна биометрия по отпечаткам пальцев, которая из-за простоты использования и сравнительной дешевизны встраивается в замки, системы доступа к рабочим станциям, банкоматам, ноутбукам и персональным гаджетам. Биометрический отпечаток в некоторых случаях даже используется для выведения ключа шифрования по методу нечёткого хэширования, что нередко также указывается как его преимущество перед паролем.

Однако, в отличие от паролей, биометрические данные не являются однозначными. Поэтому для их хранения используют алгоритмы нечёткого хэширования. При этом традиционно могут возникать два вида ошибок при обработке биометрических данных в зависимости от допуска на нечёткость: ошибочное принятие неверных данных и ошибочное нераспознавание верных данных (false positive и false negative).

Исследователь Andreas Pashalidis обратил внимание на такие системы, в которых отпечаток пальца обрабатывается по фрагментам, сравнивается степень того, насколько фрагменты похожи и подходят друг другу, на основании чего вычисляется финальный рейтинг и производится решение об удачности сравнения. Разработанный автором алгоритм позволяет при условии знания самого алгоритма проверки отпечатка и наличии похищенных кодированных биометрических данных, начать подбирать отпечаток по фрагментам и оценивать степень влияния параметров подбора на успех в распознавании. Далее, соседние участки отпечатка подбираются в соответствии с уже удачно угаданными, так чтобы степень распознавания улучшалась ещё больше. В конце работы алгоритма получается цифровая модель синтезированного отпечатка пальца, данные с которой могут быть поданы на биометрическое устройство для прохождения тестов доступа. Если подключиться напрямую ко входам биометрического устройства невозможно, то можно изготовить накладной отпечаток, с помощью которого обмануть сканирующе-распознающую часть.

При этом сама атака происходит в оффлайне: если хакер смог похитить базу кодированных биометрических данных, то на эмуляторе алгоритма распознавания на своих вычислительных устройствах он может проводить сколь-угодно много попыток адаптивного подбора фрагментов для синтеза полного отпечатка.