带有3D打印的“假指纹”旁路扫描仪

发表评论
659 views

A+

所属分类：未分类

新的研究使用3D打印技术绕过指纹扫描仪，并针对Apple，三星和微软的移动产品进行了测试。

最新研究发现，可以使用3D打印技术创建“假指纹”，从而绕过流行设备使用的大多数指纹扫描仪。但是，进行攻击仍然是昂贵且费时的。

思科Talos的研究人员创建了使用3D打印技术的不同威胁模型，然后在移动设备（包括iPhone 8和Samsung S10），笔记本电脑（包括Samsung Note 9，Lenovo Yoga和HP Pavilion X360）和智能设备（例如智能挂锁）。

点击放大。

假指纹平均成功率达80％，其中传感器至少绕过一次。研究人员在击败Microsoft Windows 10设备上的生物识别系统方面没有取得成功（尽管他们说这并不意味着它们不一定更安全；只是这种特殊方法行不通）。

但是，更大的收获是创建威胁模型以绕过指纹传感器时仍然需要花费大量时间和预算。归根结底，研究人员说，他们不得不制造50多个模具并手动测试，这耗时数月，而且，他们很难将预算保持在自己设定的2,000美元以下。这些挑战表明，绕过生物识别技术还不可能实现可扩展，简单的攻击。

思科Talos推广部总监克雷格·威廉姆斯（Craig Williams）对Threatpost表示：“生物识别技术并非致命弱点。” “生物识别技术使它非常非常易于使用。您不必记住密码。您不必输入密码，这使密码变得非常快速和容易。您不必随身携带任何物品。因此，我认为对于大多数用户而言，它仍然是完美的。”

在下面的Threatpost播客中收听完整的采访，或在此处直接下载。

以下是播客的编辑轻松的文字记录。

Lindsey O'Donnell Welch：大家好，我是拥有Threatpost的Lindsey O'Donnell Welch，欢迎回到Threatpost播客。今天，我们将讨论有关手机和计算机上指纹扫描仪的一些新研究。思科Talos今天进行了一些新研究，研究如何使用3D打印等不同技术来击败这些扫描仪，并且基本上着眼于指纹扫描仪及其总体安全性。因此，今天与我一起来参加Cisco Talos推广总监Craig Williams，来讨论这项最新研究。 Craig，非常感谢您今天加入我的播客。

Craig Williams：没问题。很高兴来到这里。

LO：让我们退后一步，然后在这里提供一些背景信息。您能否谈谈移动设备上的指纹扫描仪，并真正设置指纹扫描当前状态的上下文，以及现在这种扫描的普及程度如何？

CW：当然。因此，自从密码问世以来，安全性一直存在的问题之一是，如何使用户容易使用呢？而且我敢肯定，大家知道多年来的所有笑话，就像密码一样，例如用户输入的Hunter2。那是一个真正的问题，对吗？密码重用是不变的。人们不恰当地分享他们，他们写下来。因此，作为安全人员，我们一直在寻找新技术和新系统，以使用户更容易进行身份验证。几年又几年以前，人们开始研究生物识别技术。而且我可以肯定地说，苹果公司是第一家真正实现了生物识别安全性的广泛普及并通过其移动设备向大众提供的公司。我认为这是一个巨大的成功。每个人都知道如何使用它。现在大家都知道了。今天仍有很多人在使用它。我认为对于大多数用户而言，这很棒。

LO：是的，我想指出这一点很重要。同时，这些指纹传感器故障也存在安全问题。我不知道您是否还记得10月份，三星公司经历了整个惨败，一对用户报告说，如果第三方的硅胶外壳将手机封入其中，那么任何人都可以绕过Galaxy S10指纹传感器。因此，这就是全部。三星最终不得不推出修复程序。因此我认为提出了一个问题，该指纹扫描的安全性如何？这将我们带入您的研究。首先，您可以在这里讨论一些不同的威胁模型时，谈一下研究的主要目标吗？

CW：当然。因此，您知道，我认为要记住的一件事是直到最近的时事，想到威胁模型并不是普通用户所做的事情。现在您知道，每个人，我的意思是，他们可能不知道“威胁模型”一词，但是当每个人在公开场合露面时，都会想到我要接触的是什么？我需要手套吗？我应该带口罩还是应该使用洗手液，他们认为今天的威胁对他们构成了威胁，我该如何缓解这些威胁？用户并不总是这样想的。因此，当我们开始研究指纹安全性时，我们听到了很多关于基于指纹的身份验证的恐惧，不确定性和疑问。而且我们想知道的是，这些研究大多数都没有真正的公共信息。因此，可以说，我们可以做一个合理的预算，让用户知道实际的风险是什么吗？并明确定义并定义可能的方法？然后帮助用户了解这对他们的业务有什么影响？他们需要采取什么步骤来保护自己？这确实是这类研究的起源故事。

LO：是的，我喜欢您强调了预算方面的内容，因为我确实认为，如果您正在研究这些类型的攻击，则需要特别注意的是，这是否是刚刚执行的事情？日常用户与经验丰富的威胁参与者（或其他因素）进行比较。而且还可以在可扩展级别上完成吗？那么，这项研究的主要收获是什么？

CW：嗯，这项研究的主要收获是，供应商确实必须做出每种安全技术都必须做出的基本选择。对？这种选择实际上是易于使用的。对？这可以追溯到人们设计密码系统时的第一个密码，您如何使它既安全又易于用户使用？现在，很明显，在使用密码的情况下，如果允许人们使用诸如猫，狗，爱，恨之类的单个短词，无论如何，我们都可以浏览黑客的列表，用户很容易记住，但不幸的是，也很容易猜到。因此，这正是基于指纹的身份验证发挥作用的地方。因为它既可以兼得，又可以确保安全性，并且易于使用。因此，当我们开始深入研究这一点时，我们发现的是，我们有几个场景需要调查。我认为大多数人会理解的最常见的是，某人必须获得指纹。因此，我们定义了三种可能发生这种情况的方案。我认为最常见的是有人愿意提供它，例如，您经过安全检查站或进入建筑物或其他任何东西，或者有人将手机与他们的手机交换，然后知道扫描了指纹。下一个是一点点的东西，您知道，更多的是偷偷摸摸的，您将其从有人触摸的东西上抬起。然后，我认为另一个基本上是，就像有人拍了你的拇指一样，作为一个有趣的附带故事，我的同事，其中一位研究人员，Paul和我都在工作，而Paul则非常重视3D印刷。因此，自然而然地，他正在为医院准备口罩，面罩和所有设备。于是他烧了手。而且，当然，我也在做类似的事情，我在烧我的头发，试图表现出某种道义上的支持，我在想，“啊，看，保罗，我烧了我的手指。” 而且我知道我要派人进行指纹研究，即我的指纹照片。

LO：哦，老兄。

CW：是的。因此，它比您想象的要容易。对？在某些情况下，您实际上处于身份验证遗忘的位置。这确实是生物识别技术的缺点，对吗？生物识别技术非常易于使用。但是，您知道，与密码不同，大多数用户不会在任何地方写下他们的密码。但是人们确实总是在留生物特征。你知道的，你看的是留下视网膜印记的东西，对吗？您看着可以扫描的相机，到处都是指纹。

LO：没错，就像密码一样，您不能更改指纹。因此，还要多谈谈你们创建的威胁模型的创建，这就是我们正在研究的模型和不同类型的传感器技术。

CW：嗯，所以当我们进行研究时，传感器技术确实有一些有趣的事情，对，我们研究了电容式指纹，我们研究了使用光学扫描仪的指纹，它们都带来了自己独特的困难和挑战。在本文中，我们将探讨如何解决这些问题以及所遇到的不同情况。但是，基本上，我们能够使用我前面提到的三种方法来收集印刷品。然后，我们能够通过在本文中经历的非常详细的试验和错误模型，以迭代的方式实际生产模具以进行印刷，而这实际上是我们克服了电容问题的方式。事实证明，如果您使用橡皮泥，并且将其置于指纹上，就像我们在电影《不可能的任务》中看到的一些东西一样，就有可能使它在大多数供应商和实际使用伪造的印刷品覆盖您的印刷品。电影的那一部分实际上是真实的。这让我有些惊讶。

LO：是的，这很令人惊讶。我的意思是，这似乎不是一件容易的事，而是一件容易执行的事。是你们发现的东西吗？

CW：嗯，答案并不完全令人惊讶。因此，让我们首先介绍“为什么可能这样”，对吗？因为我敢肯定，如果人们在10年前就知道这一点，那么基于指纹的生物识别技术可能看起来并不是那样的好选择。但是现实是，过去几年来我们在3D打印方面取得了巨大进步。而且，当您看一下它时，就会知道，目前家用设备的价格相对较小，可以打印至0.1微米。事实是指纹上的脊很多很多倍，我认为它们大约在400、500微米左右，依此类推。当您考虑它时，从理论上说，您实际上很容易产生比指纹更详细的内容，并且有脚注并突出显示了所有内容。现实最终变成了我们正在使用的技术，我们又自己强加了2,000美元的预算。当前，很难生产和获得可用的模具。我们执行此类活动所花费的时间比我们预期的要长得多。生产可用的模具和印刷品大约要花费数十个小时和数十个小时。因此，除非有人打算将巨额资金投入其中，否则这不是别人可以迅速采取的措施。您知道，如果将手机移交给第三方持有20分钟，则不会发生这种情况。您需要花费大量时间来制作打印件，然后实际尝试使用它。现在，当然，如果该攻击者较早地克隆了您的打印件，这可能会将您打开新的攻击途径。

但是，我认为真正重要的要点是，希望我不会离自己太远。真正重要的一点是，这种攻击方案是可行的。我们可以用所需的所有脚注进行说明，但这是可行的。您可以使用设备购买可以放在家里的商店。但这并不容易。要获得正确的解决方案，需要大量的专业知识和大量的时间和资源投入。并进行了大量的反复试验。就是说，当您执行所有操作时，您可以生成将使大多数基于指纹的身份验证系统蒙蔽的打印件。

LO：对。是的您能再多谈些挑战吗？我知道您提到了花费大量时间，但是，要保持在你们自己施加的预算限制之内有多么困难，我想接下来的问题是，多数人在哪里的费用来自哪里？

CW：我认为大部分初始投资实际上是3D打印机本身，这是我们选择的使用树脂的打印机，这是我们选择的系统，因为它更详细并且更适合此类活动。因此，我不知道，假设一台好的打印机要花1,000美元，然后您必须购买一个清洗站来进行固化。因此，您的$ 2,000预算中有绝大部分。然后，当然，您有很多材料可供您反复试验。

LO：对，对。而且，您还能谈谈您正在测试的平台吗？我知道你们一直在寻找移动设备以及笔记本电脑，即使如此，您仍然说您已经测试了智能设备。就像挂锁，然后是USB加密笔式驱动器一样，我认为这真的很有趣。这些平台中的一个是否在工作，工作方式是否与其他平台是否存在差异？还是你们正在寻找的各种平台中更大的收获是什么？

CW：那实际上是研究中一些更有趣的部分，对吗？当您查看它时，实际上就像我前面提到的那样，这些供应商必须做出的选择是在安全性和易用性之间。在指纹世界中归结为细节和准确性的方法。现在，假设您是一个大型供应商，也许您制造的某人每天像电话一样随身携带的设备，而他们一直在使用它。您知道，他们去健身房，举重，通过手机进行身份验证，对吗？他们来自办公室。一整天都在键盘上打字，他们通过手机进行身份验证，整天去挖沟，真正擦掉手上很多皮肤，然后才想通过手机进行身份验证。因此，供应商在设计这些系统时必须选择的是他们真正想要变得多么挑剔？他们需要认证多少种不同类型的匹配项。之前，您提到了一个供应商，该供应商的门槛很低，然后您推了一个塑料电话并通过了验证。因此，这绝对是一个极端。而且我认为通过我们的测试，我们可以肯定地说微软处于极端状态的另一端。我们无法愚弄微软的技术。它是那里最安全的地方之一，也是那里最挑剔的地方之一。因此，我认为这些都是坚守的目标。

现在，我认为每个人都必须意识到基于指纹的身份验证非常重要，我认为我们已经基本证明了这种方法并不安全。现在，虽然我们无法击败该技术，但微软使用它并不意味着它在未来将是万无一失的。我认为，随着3D打印技术的发展，这种情况将越来越容易。现在，我不想听起来像一个危言耸听的声明。我认为对于绝大多数用户来说，这仍然是一个非常可行的安全解决方案。考虑这一点的好方法是您家中的警报系统。如果您家中有警报系统，您是否真的认为它将阻止世界上最好的猫防盗器？绝对不。这就是为什么当我们较早地讨论威胁模型时，我很高兴人们正在考虑它，因为在这种情况下这是非常有利的。您的威胁模型是什么？谁将进入您的手机？会是你的孩子吗？如果把它放在街上会成为某人吗？还是将成为一个资金充沛的对手，需要花费数百个小时来设置和应用系统来闯入您的手机？我认为对于我们大多数人来说，后一种情况不是现实问题。

LO：我也想知道您认为对于这些制造商而言，哪种最佳的缓解措施是，试图阻止对指纹扫描仪的此类攻击。我的意思是，很明显，您知道，我敢肯定，我们对他们的具体工作没有完全了解。但是，当您查看iPhone，iPad，Samsung S10，Huawei或您正在测试的其他一些产品时，是否有什么可以缓解的方法？

CW：嗯，我认为解决该问题的最好方法之一就是尝试确定用户的成功率。您知道，我敢肯定，如今大多数供应商都在设备中内置了某种诊断和度量标准，可以跟踪这些信息以进行调试。而且我认为生物识别身份验证的尝试和失败是可以跟踪的有效方法。作为供应商，您可以使用它来帮助您调整算法，以找出问题，哦，我们应该提高分辨率或准确性吗？或者，您知道吗，或者它在一个好地方？是的，也许只有80％的时间有效。因此，我们绝对不想使其更加严格，也许我们很好。您知道这里的好消息-即使您将成为资金雄厚的对手或国家安全组织的目标，您是否知道解决方法已经内置在每个设备中，对吗？您知道，只是进入设置菜单，然后继续设置密码。如果您真的想加倍努力，请继续进行两步验证。我相信现在大多数供应商都支持这一点，我绝对知道当我安装iPhone并将其打开时，我必须转到另一台设备并获取代码，然后单击“是”，然后回到我当时使用的设备。进行设置并输入该信息。所以解决方法在那里，对吗？生物识别技术并非致命弱点。生物识别技术使它非常非常易于使用。您不必记住密码。您不必输入密码，它使密码变得非常快速和容易。您不必随身携带任何物品。因此，我认为对于大多数用户来说，它仍然是完美的。我认为我们的研究实际上证明了这一点。如今，这并不是您现在需要担心的事情，因为邻居的孩子正在这样做，他们会抓住您的电话。这就像一个家庭安全系统，对吗？足够好了，它可以将大多数人拒之门外。对？如果您要使用它来保护商业秘密，如果要保护自己知道的秘密，则可能是一个国家所追求的，也许您不应该使用生物识别技术，而应该使用带有多因素身份验证系统的复杂密码。但是您知道吗，那是我在开始这项研究之前会给他们的相同建议，对吗？

LO：是的，是的。这就像使用几种安全方法推荐的典型类型，可能是大多数实践中最好的。

CW：是的。我认为这证明了这一点。因此，这是我最喜欢此研究的一件事，我们基本上证明了标准家庭用户绕过基于指纹的身份验证并不容易。您知道，有可能需要大量的金钱投入和大量的时间投入，以及大量的反复试验，但这并不是您仅能在20分钟内完成的事情。

LO：当然。好吧，我也想问一遍，在总结之前，您看到这种情况会在将来发生变化吗？是由于3D打印技术变得越来越普遍，还是由于其他原因？您是否认为这些类型的威胁模型会变得越来越复杂？还是在这一点上还有待观察？

CW：我认为我们将看到3D打印技术的发展，特别是对于家庭用户。我们将看到新的方法和新的机器类型，这可能会使该系统变得更弱。我们可以看到对它的新威胁以及沿着这些思路的事情。但是我仍然认为，非常类似于家庭安全，对吗？我的意思是，如果您看房子上的锁，它们会被撬掉吗？绝对不是，如果没有撞开，大多数固定房屋的锁都可以在五分钟之内捡到。也就是说，我们仍然使用锁，对吗？它们仍然提供最低的安全标准。而且我认为我们都需要意识到这就是生物识别身份验证真正提供的功能。这是最低级别的安全性，如果您不在高风险威胁模型中，那就很好。只是，要意识到存在弱点，并要知道这些弱点是什么，以及攻击它们所涉及的复杂性。这就是我们进行这项研究的真正原因。