Уязвимость заключается в том, что системы аутентификации на основе отпечатков пальцев оснащены небольшими датчиками, которые не фиксируют полный отпечаток пальца пользователя. Вместо этого они сканируют и сохраняют частичные отпечатки пальцев, и многие телефоны позволяют пользователям регистрировать несколько разных пальцев в своей системе аутентификации. Идентификация подтверждается, когда отпечаток пальца пользователя совпадает с одним из сохраненных частичных отпечатков. Исследователи предположили, что между частичными отпечатками разных людей может быть достаточно сходства, чтобы можно было создать «MasterPrint».
Насир Мемон, профессор информатики и инженерии в Нью-Йоркском университете Тандон и руководитель исследовательской группы, объяснил, что концепция MasterPrint имеет некоторое сходство с хакером, который пытается взломать систему на основе PIN-кода с использованием общепринятого пароля, такого как 1234 ». В 4% случаев пароль 1234 будет правильным, что является относительно высокой вероятностью, если вы просто угадываете, — сказал Мемон. Исследовательская группа задалась целью выяснить, смогут ли они найти MasterPrint, способный выявить аналогичный уровень уязвимости.
Действительно, они обнаружили, что определенные атрибуты в образцах отпечатков пальцев человека достаточно распространены, чтобы вызывать опасения по поводу безопасности.Мемон и его коллеги, научный сотрудник Нью-Йоркского университета Тандон Адити Рой и профессор компьютерных наук и инженерии Мичиганского государственного университета Арун Росс, провели анализ с использованием 8 200 частичных отпечатков пальцев. Используя коммерческое программное обеспечение для проверки отпечатков пальцев, они обнаружили в среднем 92 потенциальных отпечатка MasterPrints на каждую произвольно выбранную партию из 800 частичных отпечатков. (Они определили MasterPrint как такую, которая соответствует по крайней мере 4 процентам других отпечатков в случайно выбранной партии.)
Однако они обнаружили только один MasterPrint с полным отпечатком пальца из 800 полных отпечатков. «Неудивительно, что вероятность ложного совпадения частичного отпечатка гораздо выше, чем полного, и большинство устройств полагаются только на частичные данные для идентификации», — сказал Мемон.Команда проанализировала атрибуты MasterPrints, взятые из реальных изображений отпечатков пальцев, а затем построила алгоритм для создания синтетических частичных MasterPrints.
Эксперименты показали, что синтетические частичные отпечатки имеют еще более широкий потенциал сопоставления, что делает их более уязвимыми для биометрических систем безопасности, чем настоящие частичные отпечатки пальцев. С их цифровым моделированием MasterPrints команда сообщила об успешном сопоставлении от 26 до 65 процентов пользователей, в зависимости от того, сколько частичных отпечатков пальцев было сохранено для каждого пользователя, и при условии, что максимальное количество попыток аутентификации составляет пять. Чем больше частичных отпечатков пальцев хранит данный смартфон для каждого пользователя, тем он более уязвим.Рой подчеркнул, что их работа была проделана в смоделированной среде.
Однако она отметила, что усовершенствования в создании синтетических отпечатков и техники переноса цифровых отпечатков MasterPrints на физические артефакты с целью подделки устройства создают серьезные проблемы с безопасностью. Высокая способность сопоставления MasterPrints указывает на проблемы разработки надежных систем аутентификации на основе отпечатков пальцев и усиливает потребность в схемах многофакторной аутентификации. Она сказала, что эта работа может послужить основой для будущих дизайнов.
«Поскольку датчики отпечатков пальцев становятся все меньше в размерах, необходимо значительно улучшить разрешение датчиков, чтобы они могли улавливать дополнительные функции отпечатков пальцев», — сказал Росс. «Если разрешение не улучшится, различимость отпечатка пальца пользователя неизбежно будет поставлена ??под угрозу. Эмпирический анализ, проведенный в этом исследовании, ясно подтверждает это».
Мемон отметил, что результаты исследования команды основаны на сопоставлении по мелочам, которое любой конкретный поставщик может использовать или не использовать. Тем не менее, по его словам, до тех пор, пока для разблокировки устройств используются частичные отпечатки пальцев и сохраняется несколько частичных отпечатков на каждом пальце, вероятность обнаружения MasterPrints значительно возрастает.
«Инвестиции NSF в исследования кибербезопасности создают фундаментальную базу знаний, необходимую для защиты нас в киберпространстве», — сказала Нина Амла, программный директор Отдела вычислительных и коммуникационных основ Национального научного фонда. «Подобно тому, как другие исследования, финансируемые NSF, помогли выявить уязвимости в повседневных технологиях, таких как автомобили или медицинские устройства, исследование уязвимостей систем аутентификации на основе отпечатков пальцев способствует постоянному совершенствованию безопасности, обеспечивая более надежную защиту для пользователей».