Jan Krissler brukte høy oppløsning bilder, inkludert en fra en regjering trykk på office, å kunne gjenskape fingeravtrykk av Tysklands forsvarsminister
@alexhern
Tir 30. Desember 2014 11.43 GMT
Sist endret den Tir 21 Feb 2017 18.17 GMT
Denne artikkelen er over 3 år
Hacker brukte kommersielle
Foto: A. T. Willett / Alamy/Alamy
Det er en gammel klisje av security forskere: fingeravtrykk kan vises sikrere enn passord. Men hvis passordet blir stjålet, kan du endre den til en ny en; hva skjer når fingeravtrykk som blir kopiert?
Det er ikke lenger et abstrakt frykt: en høyttaler på Kaos Kommunikasjon Kongressen, et årlig møte for hackere i Tyskland, viste sin metode for falsk fingeravtrykk ved hjelp av bare et par high-definition bilder av hans mål, tysk forsvarsminister Ursula von der Leyen.
Tysk forsvarsminister Ursula von der Leyen Foto: Hannibal Hanschke/Reuters
Jan Krissler, kjent i hacker sirkler som Starbug, brukes kommersiell programvare kalt VeriFinger og flere nær-range bilder av von der Leyen, inkludert en som er hentet fra en pressemelding utstedt av hennes eget kontor og en annen tok han seg fra tre meter unna, til å foreta omvendt utvikling fingeravtrykk.
“Etter denne talen, politikere vil antagelig bør du ha på hansker når du snakker i offentligheten,” han spøkte.
Også rapportert på konferansen var en annen sikkerhetshull tilsynelatende rett ut av en science-fiction: en såkalt “hornhinnen keylogger”. Ideen bak angrepet er enkel. En hacker kan ha tilgang til brukerens telefon kameraet, men ikke noe annet. Hvordan å gå fra det til å stjele alle passordene sine?
Én måte, vist på scenen, er å lese hva de skriver ved å analysere bilder av refleksjoner i deres øyne. Smarttelefon-kameraer, selv front-mot seg, er nå høy oppløsning nok til at et slikt angrep er mulig.
Starbug er ikke fremmed for å ta på biometrisk sikkerhet. I en høy profil stunt i 2013, han etterlignet Apples TouchID sensorer innen 24 timer etter utgivelsen av iPhone 5S. Ved hjelp av en flekk på skjermen på en iPhone, er han skrevet ut en dummy finger med trelim og sprayproduktet grafén, som lykkes i å ulåst telefon registrert på andres tommelen.
For at hack, han måtte ha fysisk tilgang til telefonen, han stjal fingeravtrykk fra, for å få en høy oppløsning skanne til utskrift. Hans siste demonstrasjon tyder på at det kan være mulig å låse opp en telefon med et fingeravtrykk stjålet uten noen gang å berøre en person eller deres eiendom – selv om du faktisk får tak i telefonen er fortsatt behov for den siste scenen, for faktisk å låse den.
Det økende antall vellykkede angrep mot biometrisk identifikasjon har ført til noen security forskere om at folk til å endre måten de tenker om sikkerhetstiltak, for eksempel fingeravtrykk og foto-ID. Snarere enn å behandle dem som en erstatning for passord, bør de i stedet bli brukt som en ekstra faktor for godkjenning, eller som noe som ligner på et brukernavn: en offentlig kjent stykke informasjon som må være knyttet til et passord før en bruker kan logge inn i.
Som ACLU er Jay Stanley fortalte Washington Post, “Biometri er ikke hemmeligheter… Ideelt sett, de er unike for hver enkelt person, men det er ikke det samme som å være en hemmelighet.”
Og Starbug enig, forteller Zeit i 2013 som “jeg anser min passord sikrere enn mine fingeravtrykk… passordet Mitt er i hodet mitt, og hvis jeg er forsiktig når du skriver, jeg er fortsatt den eneste som vet det.”
- iPhone 5S fingeravtrykk-sensor hacket av Tysklands Chaos Computer Club
Denne artikkelen inneholder affiliate linker, noe som betyr at vi kan tjene en liten provisjon hvis en leser klikker seg gjennom, og gjør et kjøp. Alle våre journalistikk er uavhengig, og er på ingen måte påvirket av en annonsør eller kommersielle initiativ.
Linkene er drevet av Skimlinks. Ved å klikke på en affiliate link, aksepterer du at Skimlinks informasjonskapsler skal være satt. Mer informasjon.