Рубрика развивается при поддержке
Advertisement
Техника
DTF

Специалисты обошли сканер отпечатков пальцев в MacBook и iPad с помощью плёнки и клея Статьи редакции

Точность распознавания отпечатка составила около 80%.

Исследователи кибербезопасности из Kraken Security Labs продемонстрировали, что аутентификация по отпечатку пальца можно обойти при помощи дешёвых расходных материалов.

Для взлома устройств специалистам даже не понадобился прямой доступ к отпечатку пальца владельца — только фотография поверхности, к которой он прикоснулся.

Её обработали в Photoshop, сделав монохромной, и распечатали на ацетатной плёнке на лазерном принтере. Тонер придал изображению трёхмерную структуру, а столярный клей «оживил» отпечаток.

Мы провели успешную «атаку» на большинство тестируемых устройств, включая iPad и MacBook Pro. При настоящем взломе, у нас был бы доступ к огромному количеству конфиденциальной информации.

Kraken Security Labs

Kraken — не единственная лаборатория, которой удалось обмануть дактилоскопический сенсор. В 2020 году Cisco Talos опубликовала отчёт с описанием похожего метода. В обоих случаях точность распознавания составила около 80%.

Эксперты отметили, что большинство пользователей вряд ли столкнётся со взломом, но при желании воспроизвести отпечатки пальцев нетрудно — они остаются на любых поверхностях, от бокала в ресторане до двери такси.

Рекомендации — не рассматривать сканер в качестве безопасной альтернативы надёжному паролю и использовать его только при двухфакторной авторизации.

0
54 комментария
Популярные
По порядку
Написать комментарий...

Сканер отпечатков пальцев и Face ID уже давно показали свою не эффективность. То подделывают отпечатки из подручных средств как в шпионском детективе, то лепят лица, чтобы обойти 3д-сканер. А самсунг флагманы и их аналоги вообще можно при помощи фотки разблокировать.

Поэтому самые безопасные устройства это Xiaomi. Их никто не украдет, а кто и украдет, точно не будет взламывать. Надо брать Xiaomi, они снова всех обыграли.

А ведь там еще есть 2 мб макро-объектив и топ за свои деньги.

45

лучше вводить пароль вручную, ведь в это время все отворачиваются, а камеры перестают снимать

25

Ну штош, тогда ждём пароль по ДНК, где надо будет облизывать устройство

3

Анальный блокиратор!

4

Каждому своё🤣🤣🤣🤣

1

смотри в сизо. попадешь и тоже захочешь такой

–2

Комментарий удален

Почему ты решил, что если пользоваться Xiaomi, твои данные никому не нужны. Сейчас куча псевдоинвесторов в крипту, воровать данные могут везде.
Apple хоть в каком то виде закрытая система и там сложности с взломом. А подобрать твой графический ключ будет как 2 пальца.

–4

сарказм не считался?

11

Нет сложностей со взломом только устройств вышедших менее полугода назад. Более старые взламываются разными способомами, в том числе прямо через веб браузер. Это можно реализовать вообще незаметно для пользователя и у пользователя (по умолчанию) нет даже возможностей самому исследовать файловую систему и процессы на устройстве, чтобы найти что то подозрительное и удалить малварь вручную. Я лично ненавижу сегодняшние смартфоны, за это, что малварь может получить права администратора (root), через уязвимости, а пользователям производители категорически не рекомендуют иметь права суперпользователя, и журналисты тоже поддерживают этот бред, пропагандируют против установки jailbreak или получения root прав. Хотя это наоборот даёт контроль пользователи и делает систему более безопасной.

4

Имхо, для реально опытных пользователей - да, это даёт контроль и безопасность владельцу. Это было бы удобно.
Для неопытных излишние системные права наоборот делают пользователя ещё более уязвимым к разного рода атакам.
По крайней мере, у неопытного юзера с повышенным привелегиями вероятность подхватить что-либо будет гораздо выше, чем у того же юзера без повышенных прав. Потому что встретить конкретный тип малвари, получающей рут, всё-таки сложнее, чем встретить любой другой тупой троянчик.
И как мне кажется, основной посыл именно в этом у журналистов, потому что много людей делают все по инструкциям, но сами не понимают того, чего делают, имхо.

P.S. Хотя если пользователь вообще неопытный, то тут даже и троян не нужен, он и сам все отдаст - но это уже другая история)

0

"Для неопытных излишние системные права наоборот делают пользователя ещё более уязвимым к разного рода атакам."

Нет, если к этому грамотно подойти, как сегодня реализовано на десктопных ОС (macOS, Windows, Linux), да там у пользователя есть права администратора и проблем с безопасностью это не вызывает, как например, во времена Windows 98, у современных систем хорошо продуман механизм повышения привелегий. И да малварь дырами в этом механизме тоже активно пользуется, но это не повод тотально блокировать права админа на смартфонах. Просто нужно улучшать механизм повышения привелегий, вместо того, чтобы запрещать его полностью. Другими словами, если болит голова, её рубить не стоит. А это то, что делают производители смартфонов сегодня. Особенно расстраивает, что такие компании, как Huawei, Xiaomi активно топят за полное лишение рут прав в их системах. Хотя они и так под санкциями (с Xiaomi вроде сняли), могли бы уже не выеживаться и сделать по человечески. ред.

0

Отчасти соглашусь, в нынешних реалиях механизм в системах более продуман. И то, что на смартфонах прям рубят, что даже опытным пользователям делается невозможным получение повышенных прав - тоже не очень.

Ключевое, что вы и сами написали - нужно грамотно подойти. К сожалению, мне известно достаточно много случаев, когда пользователи стреляют себе в ногу, ставя фулладмина себе, отключая UAC и даже встроенный в 10ке антивирь, лишь потому что "посоветовали", "надоело" или "привык" и тд.. ( Больная тема, а из недавнего - у знакомого дитё по совету из тиктоков "шобу дотка не лагала" поотрубалало себе дефендер, обновления, uac, службы какие-то, потом ещё в тот же день умудрился напороться на троянистый вымогатель )

1

Схуяль их никто не украдёт? Продать проще всего дешёвый ширпотреб, кстати.

0

Ой ты удивишься, сколько приносят краденных ксяо на сброс с ми аккаунта ))

0

Данил, я смеялась в голос! Твой сарказм на высоте, спасибо!

0

Тем временем мои эпловские девайсы: «хрен тебе а не распознавание, приложи свой палец ещё пару раз, тогда мб пустим». Причём макбук обычно ок, а ифон пздц бесит иногда. Сраные андроиды сильно лучше с этим справлялись

5

Сраные ведроиды можно разблокировать в целлофановых перчатках 😅 сейчас не помню о какой модели шла речь, на ютубе полно видосов на эту тему.

0

Любой девайс с оптическим сканером?

0
Парадный каякер

При Джобсе такого не было!

1

При Джобсе ещё не то было

6

но такого то не было !

6

да разное было

1

зато было то что было!

0

Скажем так, сравнивать надо с альтернативами. Если постоянно вводить код/пароль, то подсмотреть его с помощью хорошей камеры ещё проще. Давно уже научились перехватывать набираемый с клавиатуры текст чисто с излучения из клавиатурного провода.

Двухфакторная авторизация часто подразумевает использование смс, а смс — очень ненадёжный канал информации. Симки перевыпускают, сообщение перехватить нефиг делать, уже были случаи перехвата смс спецслужбами. Волшебной пули тут, к сожалению, нет. Всегда есть компромисс между удобством и надёжностью.

4

Согласен. Да и полностью обезопасить себя, скажем так, нереально, и ни один из способов не является абсолютно безопасным. Тут просто стоит выбирать "из двух зол меньшее".

Так, например, хоть смс и ненадежный вариант для двухфактора, однако будем честны, его абсолютно любой прохожий всё-таки не перехватит и для этого нужны административные ресурсы ( спецслужбы, связи у оператора ). То есть чтобы перехватить смс это не уровень "проверить мужа на измену", тут вопрос может быть в миллионах или миллиардах рублей ( ну или в избавлении от оппонента на выборах )).
Аналогично стоит смотреть и на отпечаток.
Да, не 100% безопасно, однако сильно сложнее для обхода, недели пинкод. Пинкод достаточно раз подглядеть, посмотреть по следам на экране.

0

Тю, это вы в даркнете не были. Пробиваются эти смс как нефиг делать. Не в режиме онлайн разве что.

0

Я знаю, что легко и доступно пробивается факт смсок, но про то, что могут пробить именно текст сообщения без привлечения достаточно весомых людей - не слышал.
Хотя если в даркнете есть сотрудники, обслуживающие, например, СОРМ, тогда все логично и нет противоречий..

0

Именно по этому, ждем в след. версии FaceID. С ним по сложнее будет уже взломать. Челку добавили в новых маках, faceid Только забыли.

1

Не забыли - faceid пока слишком громоздкий для встраивания в крышку 🤷

3

Посмотрел ОЕМ модули для телефонов, ничего крупного не вижу. Думаю маркетинг просто.

4

Толщину решили не учитывать?

6

соизмерима с обычной вебкамерой, влезет легко

0

Если вы не заметили, на фотографии модуль по отношению к крышке макбука. И куда он там влезет? ред.

2

На фото прекрасно видно, что не влезет.

2

Допилят напильником

1

Еще немного подробностей и ты бы вылетел с работы)

1

Не такой уж и надежный этот ваш Apple /s

–1

Любой сканер отпечатков так можно обмануть. Проблема в самой концепции технологии. Если это вообще проблема

3

Так сканеры по разным технологиям работают

3

Для взлома девайсы эппл просто нафиг никому не нужны, это не серверные системы.

–2

Чего это вдруг? А эти самые журналисты которых убили? А Дженифер Лоуренс? Очень даже нужны.

5

Продаваемые данные и в нужных объёмах чаще всего находятся именно на серверах. Сейчас взломать локальный компьютер и с двухфакторной авторизацией можно только голые фотки Лоуренс продавать дрочерам. А взломал сервер, заменил банковские номера поставщиков — и оплата в следующий раз полетит уже на другой адрес и незаметно для планктона вроде CFO (наша CFO так и попала на $300K пока не пришёл вопрос от поставщика — где же деньги?).

Журналисты — да, но опять-таки размер рынка минимален. А в определённых странах дешёвого 40 Вт паяльника хватает.

6

Да, то ли дело другие...

1

Не удивительно , у меня он вобще не срабатывает не на правом не на левом пальце) приходится вводить 5 значный код по 50 раз в день уже надоело .

0

не срабатывает не на правом не на левом пальце

Ну значит центральный попробуйте.
P.S. простите, не смог удержаться ;-)

1
Парадный каякер

“воспроизвести отпечатки пальцев нетрудно — они остаются на любых поверхностях, от бокала в ресторане до двери такси.”

Зачем такие сложности, если уже украли само устройство?)

1

Они играются в Хитмана: нужно поломать айпад, пока владелец вышел в туалет.

0
Парадный каякер

отпечаток снимут с туалетной бумаги

0

Ну не факт что украли, может просто есть доступ на несколько минут. Предварительно делаешь отпечаток с какого-нибудь стакана и действуешь когда человек в туалет отойдет.

0

Очень приятно)

1

а им слабо капчу обойти, где надо светофор указать на картинках?

1

Хуже светофора только пешеходные переходы.

0

Специалисты, которых мы заслужили...

0

нормально , уже даже на ноутах будет отпечаток, мб и на плазмы будут ставить?

0
Читать все 54 комментария
Мысли создателя FastAPI Себастьяна Рамиреса из интервью Evrone

Себастьян Рамирез — энтузиаст open source, создатель таких популярных инструментов, как FastAPI, Typer и SQLModel. В интервью он поделился мнением о собственных проектах, образовании для разработчиков и собственной популярности в Twitter. Полный текст доступен по ссылке.

Опыт возврата денег за обучение дизайну у Yakovlevv.com. Тварь я дрожащая или право имею?
Российско-швейцарская WayRay представила свой первый прототип электромобиля с AR-остеклением Статьи редакции

За четыре года стартап хочет подготовиться к серийному производству и получить разрешения на движение по дорогам общего пользования.

WayRay Holograktor WayRay
Минэнерго включило в правила для субсидий на зарядные станции медленную зарядку и четыре выхода для электромобилей Статьи редакции

Российские электросети могут не выдержать увеличения нагрузки, считают эксперты.

Что такое digital nomad виза и как ее получить?

Одним из плюсов жизни цифрового кочевника (digital nomad) является возможность попасть в страны, закрытые для всех туристов во время пандемии. Ещё digital nomad виза, которую иногда также называют визой удаленного работника, дает право проживать и работать в определенной стране на протяжении большого периода времени. В статье мы расскажем о ее…

Новые гарантии для одиноких родителей

Государственная Дума РФ 9 ноября 2021 года приняла в третьем чтении закон, предоставляющий дополнительные гарантии отдельным категориям работников, имеющих несовершеннолетних дней, и вносящий поправки в Трудовой Кодекс РФ.

Омикрон проверит работоспособность стратегии покупки акций на спадах

Появление варианта омикрон позволит вновь проверить работоспособность стратегии покупки на спадах, которая в этом году пока сбоев не давала.

Бизнесменам разрешат перевести личные фонды в российские офшоры

Согласно проекту поправок Минэкономразвития РФ к закону "О международных компаниях и международных фондах" министерство планирует разрешить бизнесменам регистрировать в так называемых русских офшорах - специальных административных районах (САР) в Калининграде и Владивостоке - личные фонды и трасты.

Сервис «Кухня на районе» отменил бесплатную доставку еды Статьи редакции

Пока доставка стоит 1 рубль, но в ближайшее время цена будет динамической — в зависимости от погоды и нагрузки курьеров.

Невидимый убийца: как воздух в вашем офисе делает вас глупее

Важное исследование, которое должно заставить все компании пересмотреть свои офисы.

null