Биометрия на смартфоне оказалась не такой надежной – мошенники могут восстановить отпечаток пальца, подслушивая, как пользователь водит им по экрану. Как это работает, сообщает nur.kz .
Отпечаток пальца. Иллюстративное фото: pexels.com
Отпечаток пальца – один из способов ограничить доступ к данным на смартфоне, в том числе в различные финансовые приложения. У такой технологии есть масса преимуществ, например, не нужно запоминать пароли и постоянно вводить их для того, чтобы воспользоваться телефоном и мобильным банкингом.
Однако у такой биометрии есть и свои минусы, о которых рассказали эксперты "Лаборатории Касперского". Как оказалось, мошенники во время звонка могут восстановить отпечаток пальца, подслушав за тем, как пользователь водит пальцем по экрану смартфона. Об этом говорится в исследовании, которое провели ученые из США и Китая.
"Когда пользователь водит по поверхности экрана пальцем, он производит практически не слышимый человеческим ухом шум. Эти, грубо говоря, "шорохи" неоднородны – их характер меняется, когда к экрану прикасаются крупные узлы в рисунке отпечатка, так называемые "петли" и "дуги", – объясняют уязвимость эксперты.
При наличии достаточно чувствительного микрофона можно записать этот шум, проанализировать его, а позже восстановить примерное расположение и рисунок узлов. Такой способ обмана сканера назвали PrintListener.
Примечательно, что мошенникам не нужно восстанавливать полную копию отпечатка – хватит небольшого фрагмента, ведь сканеры на смартфонах настроены так, чтобы они принимали отпечаток даже тогда, когда он не совпадает на 100%. Сделано это для того, чтобы у пользователей не было проблем со входом.
"Пользователь каждый раз прикладывает палец немного иначе – под другим углом, чуть выше или чуть ниже. Палец может быть сухим или влажным, он может быть загрязнен или поврежден.
Чтобы учесть такую неидеальность реального мира, сканер настраивают так, чтобы он открывал доступ не только при полном совпадении, но и в ситуации "почти совпадает с эталоном", – отмечают эксперты.
Из-за этого иногда происходят ложные срабатывания – когда приложен чужой палец, но сканер его принимает. Частота таких ошибок может варьироваться от 0,01% до 1%. При этом PrintListener способен успешно обмануть сканер в 48-53% случаях, если у него допустимая доля ложных срабатываний составляет 0,1%, и в 7,8-9%, если сканер более строгий, а доля его ошибок не превышает 0,01%.
Впрочем, такой способ может оказаться слишком сложным для рядовых мошенников – обмануть сканер можно более простыми способами, например, напечатав украденную ранее биометрическую информацию на 3D-принтере
Есть и другие способы, благодаря которым аферисты могут получить доступ к смартфону. Например, с помощью приложений удаленного доступа, которые может официально скачать любой казахстанец.
Поэтому, чтобы надежно защитить свои данные, эксперты советуют использовать отпечаток пальца в комбинации с другими системами защиты: паролем или двухфакторной аутентификацией. При этом если кто-то посторонний просит установить какое-либо приложение, слушать его ни в коем случае нельзя.
Напомним, с 1 января 2024 года в Казахстане была введена дактилоскопическая регистрация при выдаче удостоверения личности или паспорта. Для иностранцев и лиц без гражданства она обязательна, а для казахстанцев пока на добровольной основе.
Автор Илья Манаев
Источник nur.kz