יש לנו יחסי אהבה שנאה עם מזהה ביומטרי. אחרי הכל, זה נראה כל כך מדהים כאשר הגיבור בתמונת תנועה Sci-Fi נכנס לאזור הגישה מוגבל לאחר שיש את ידו ואת איריס סרקו. אבל זה בערך הטוב ביותר שאתה יכול להגיד על אבטחה ביומטרי. זה פגום מבחינה מושגית בחבורה של דרכים, וכמעט כל יישום שראינו נשבר מוקדם יותר או מאוחר יותר.
מקרה בנקודה: האקר אנטי ביומטרי פורה [Starbug] וקבוצה של חברים בברלין CCC מסוגלים לאמת את “Samsung pay” מערכת תשלום דרך סורק איריס. הסרטון, מוטבע להלן, מראה לך איך: לצלם תמונה של העין של היעד, להדפיס אותו, ולהחזיק אותו לטלפון. זה היה קשה!
סרקזם הצידה, חיישן איריס משתמש IR כדי לזהות דפוסים בעין שלך, כך [Starbug] ושות ‘היה צריך להשתמש במצלמה עם מצב ראיית לילה. עדשות מגע שהונחו על התמונה משלימה את האשליה – אנו מנחשים שזה יקבל את ההשתקפויות מתאורת החדר הנכון. אין תחריט דפוסי טביעת אצבע לנחושת, אין ג’ל מוליך – רק תדפיס ועדשה מגע.
ראינו על חוסר הביטחון של טביעות אצבעות לפני כן; הם לא סוד טוב, הם בלתי הפיכים, והם קשים לאחסן בצורה מאובטחת. ועל גבי הבעיות המושגיות האלה, הם די spoofable, כמו starbug] והרבה אחרים הראו, הולך בדרך חזרה.
אז למה אנחנו עדיין משתמשים בהם? טביעות אצבע קוראים סורקים איריס הם “טוב מספיק” בטיחות והם כיף לפרוץ עם. אתה חייב להוסיף אחד לפרויקט שלך לחייס? בהחלט. האם אתה צריך את האזרחים שלך להשתמש בהם לאימות, או להשתמש בהם לביטחון אמיתי? לא היינו.
וידאו PlayerHTTP: //cdn.Media.ccc.de/contributors/berlin/biometrie/h264-hd/biometrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00.
00:00.
01:16.
תודה [mbln] עבור קצה!