Det er nemt at narre din telefons fingeraftryksscanner. Sådan skal vi rette det.

Tidligt i sidste uge oprettede jeg fingeraftrykssensorer på min nye iPhone. Det var da min bror, @Prateek , kom op med en idé til at teste disse mobile fingeraftrykssensorer.

Testen var at scanne hans finger sammen med minen på tidspunktet for opsætning af fingeraftryk. Du ved, hvordan disse enheder beder dig om at løfte og derefter hvile fingeren flere gange for at fange alle mulige vinkler. Så vi gjorde det - fik fingeren scannet et par gange, da telefonen forventede, at jeg kun skulle løfte og hvile min finger.

Til min forbavselse lykkedes det os at bluffe telefonen. Opsætningen var færdig, og nu kunne vi begge bruge fingeren til at låse telefonen op. Sådan så indstillingerne ud - kun en finger konfigureret, og vi begge kunne låse telefonen op.

Tanken krøb ind i vores hjerner: er dette en slags fejl, eller hvad? For nu var det tid til en sjov øvelse - at prøve det med alle andre telefoner, der understøtter fingeraftryksfølelse.

Så vi begyndte med forskellige Android-telefoner, nogle få med lager-ROM og andre med brugerdefinerede operativsystemer fra en tredjepart som Micromax, Lenovo og Xiaomi. Resultatet var det samme for alle. Vi kunne hver bruge vores finger til at låse den samme telefon op, mens kun en finger var sat op.

Lad os først forstå, hvordan disse mobile fingeraftryksscannere fungerer

Ved at holde fast ved punktet er der to populære og kerneteknologier bag fingeraftryksscanning i mobiltelefoner.

Optisk scanner - denne teknik bruger et optisk billede til at tage forskellige billeder af din finger. En slags kamera med høj præcision og få lysdioder gør jobbet her. Softwaren sammenligner derefter disse to-dimensionelle billeder med billedet taget fra den scannede finger.

Da dette i det væsentlige kun er et billede, der sammenlignes, er disse scannere lette at bedrage. Et billede af en finger, der er trykt med en høj DPI-printer, er nok til at narre disse typer scannere.

Kondensatorscanner - her fanger en række kondensatorer mønsteret fra det scannede billede. Et komplekst elektrisk kredsløb nedenunder fanger dataene, og det bruges til at sammenligne den scannede finger.

Denne teknik er langt mere sikker og er vanskelig at bedrage. Et high definition-billede af en finger kan ikke bruges til at låse telefonen op. Samsung Galaxy S8-telefonen hævder, at den bruger denne teknik.

Nu tid til debatten: er det rigtigt eller ej?

Først når du ser dette ske, kan du fortælle, at der sker noget usædvanligt. For at beskytte din fingeraftryksscanner er følgende komponenter vigtige:

  • Scanningsteknik - hardware, der bruges til at scanne fingeren og udtrække data / mønstre fra den.
  • Storage - Database, hvor data / mønster af fingeraftrykket er gemt.
  • Algoritme - der bruges til at gemme og sammenligne det scannede mønster.

For den overordnede sikkerhed er optagelse af fingeraftryk lige så vigtigt som henvisende database til verifikation. Der ser ud til at være en fejl og ineffektivitet i den måde, fingeraftryk gemmes på.

Når man ser på sagen ovenfor, ser det ud til, at forskellige fingeraftryksindtryk, der blev samlet på installationstidspunktet, er gemt som et uafhængigt datasæt. Når du scanner en finger for at låse enheden op, sammenlignes scanningen med en række af den binære repræsentation af fingre, der blev scannet på installationstidspunktet. Muligvis var det sådan, vi var i stand til at narre telefonen ved at scanne en anden persons finger på tidspunktet for opsætningen.

Der ser ud til at være et konceptuelt og grundlæggende problem i, hvordan systemet i øjeblikket fungerer.

Jeg kan ikke kræve nogen brugssag, hvor dette kan føre til et sikkerhedsgab. Men da tilpasningen af ​​fingeraftryksbaseret godkendelse stiger hurtigt, og brugen af ​​den er gået ud over blot at låse din enhed op, er det fornuftigt at forbedre teknologien til at bygge bro over kløften.

Så hvad nu?

På tidspunktet for opsætningen kunne successive scanninger af fingeren sammenlignes med hinanden for at sikre, at alle de optagede scanninger var af samme finger. Det er indlysende at have en vis procentdel af overlapning mellem forskellige scanninger. En sådan ting ville have stoppet Prateek Dwivedi i at scanne sin finger, da jeg prøvede at opsætte telefonen. Dette ville have sikret den måde, fingeraftryk fanges på installationstidspunktet.

Hentning kan gøres mere sikker ved ikke at sammenligne scanningen for at låse enheden op med kun en af ​​de forudlagrede scanninger. Ideelt set sammenlignes scanningen i høj grad med en af ​​de gemte repræsentationer, og den sammenlignes også med alle andre scanninger til en vis grad. I stedet for at stole på kun en optimal kamp, ​​skal vi score kampen baseret på en sammenligning fra alle repræsentationer. Akkumulerende sammenligningsprocent bør betragtes som godkendende.

Konklusion

Som konklusion, som jeg påpegede i min forrige blog - “Biometrisk identifikation og brug i bankmobilapplikationer:”

Den biometriske godkendelse er endnu ikke sikker nok. For nylig har vi set en tilbøjelighed og skift i retning af at bruge disse teknikker til betalinger og finansielle transaktioner også. Stigningen af ​​mobiltelefoner og IoT-enheder har tilføjet tilpasningen af ​​biometriske godkendelsesteknikker. Det er på tide at tænke mere på at gøre biometrisk godkendelsesteknologi mere sikker og vanskelig at gå på kompromis.

Følg mig på medium - Nikhil Dwivedi.

Mit twitterhåndtag er - @Niks_Dwivedi