Δακτυλικά αποτυπώματα αναπαράγονται από ήχους σάρωσης οθόνης αφής: Κινέζοι και Αμερικανοί ερευνητές ανακαλύπτουν νέο τρόπο για επιθέσεις

Μια πρωτοποριακή επίθεση στη βιομετρική ασφάλεια αποκαλύφθηκε από μια συνεργαζόμενη ομάδα ερευνητών από την Κίνα και τις ΗΠΑ, παρουσιάζοντας μια νέα απειλή για το ευρέως αξιόπιστο σύστημα αυτόματης αναγνώρισης δακτυλικών αποτυπωμάτων (AFIS). Η επίθεση, γνωστή ως PrintListener, διερευνά μια προσέγγιση, αξιοποιώντας τα ιδιαίτερα χαρακτηριστικά του ήχου που παράγεται όταν ένας χρήστης σαρώνει το δάχτυλό του σε μια οθόνη αφής.

Το ερευνητικό έγγραφο με τίτλο "PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound", περιγράφει τη μεθοδολογία που κρύβεται πίσω από αυτή την καινοτόμο επίθεση από παράπλευρο κανάλι στην ασφάλεια βιομετρικών δακτυλικών αποτυπωμάτων. Αναλύοντας τον ήχο που παράγεται κατά τη διάρκεια των ενεργειών σάρωσης του δακτύλου σε οθόνες αφής, οι ερευνητές ισχυρίζονται ότι μπορούν να εξάγουν χαρακτηριστικά μοτίβου δακτυλικών αποτυπωμάτων με επιτυχία σε ένα σημαντικό ποσοστό μερικών και πλήρων δακτυλικών αποτυπωμάτων μέσα σε περιορισμένο αριθμό προσπαθειών.

Οι ερευνητές υποστηρίζουν ότι το PrintListener μπορεί να στοχεύσει "έως και το 27,9% των μερικών δακτυλικών αποτυπωμάτων και το 9,3% των πλήρων δακτυλικών αποτυπωμάτων εντός πέντε προσπαθειών στην υψηλότερη ρύθμιση ασφαλείας FAR [False Acceptance Rate] 0,01%". Αυτό αντιπροσωπεύει μια σημαντική πρόοδο στις επιθέσεις πλευρικού καναλιού σε συστήματα ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων.

Η βιομετρική ασφάλεια δακτυλικών αποτυπωμάτων είναι διάχυτη και θεωρείται εξαιρετικά αξιόπιστη, με την αγορά να προβλέπεται να φτάσει σχεδόν τα 100 δισεκατομμύρια δολάρια μέχρι το 2032. Η επίθεση PrintListener, ωστόσο, εισάγει ένα νέο επίπεδο ευπάθειας, εκμεταλλευόμενη τον ήχο των ενεργειών σάρωσης του δακτύλου που καταγράφονται από τους επιτιθέμενους στο διαδίκτυο. Η πηγή αυτών των ήχων θα μπορούσε να είναι δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων, όπως το Discord, το Skype, το WeChat, το FaceTime και άλλες, όπου οι χρήστες εκτελούν εν αγνοία τους ενέργειες σάρωσης ενώ το μικρόφωνο της συσκευής είναι ενεργό.

Το PrintListener ξεπερνά διάφορες προκλήσεις, συμπεριλαμβανομένης της ανάπτυξης ενός αλγορίθμου εντοπισμού ηχητικών συμβάντων τριβής με βάση τη φασματική ανάλυση, του διαχωρισμού των επιρροών των μοτίβων των δακτύλων στον ήχο από τα φυσιολογικά και συμπεριφορικά χαρακτηριστικά των χρηστών και της εξέλιξης από την εξαγωγή συμπερασμάτων από τα πρωτεύοντα στα δευτερεύοντα χαρακτηριστικά των δακτυλικών αποτυπωμάτων με τη χρήση στατιστικής ανάλυσης και ενός ευρετικού αλγορίθμου αναζήτησης.

Σε σενάρια πραγματικού κόσμου, ο PrintListener απέδειξε την αποτελεσματικότητά του διευκολύνοντας με επιτυχία επιθέσεις με μερικό δακτυλικό αποτύπωμα σε πάνω από το 25% των περιπτώσεων και επιθέσεις με πλήρες δακτυλικό αποτύπωμα σε σχεδόν 10% των περιπτώσεων. Τα αποτελέσματα αυτά ξεπερνούν τα ποσοστά επιτυχίας των επιθέσεων σε λεξικό δακτυλικών αποτυπωμάτων MasterPrint χωρίς βοήθεια, αναδεικνύοντας τους πιθανούς κινδύνους ασφαλείας που ενέχει αυτή η εξελιγμένη προσέγγιση πλευρικού καναλιού στα συστήματα ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων.