Рубрика развивается при поддержке
Advertisement
Техника
DTF

Специалисты обошли сканер отпечатков пальцев в MacBook и iPad с помощью плёнки и клея Статьи редакции

Точность распознавания отпечатка составила около 80%.

Исследователи кибербезопасности из Kraken Security Labs продемонстрировали, что аутентификация по отпечатку пальца можно обойти при помощи дешёвых расходных материалов.

Для взлома устройств специалистам даже не понадобился прямой доступ к отпечатку пальца владельца — только фотография поверхности, к которой он прикоснулся.

Её обработали в Photoshop, сделав монохромной, и распечатали на ацетатной плёнке на лазерном принтере. Тонер придал изображению трёхмерную структуру, а столярный клей «оживил» отпечаток.

Мы провели успешную «атаку» на большинство тестируемых устройств, включая iPad и MacBook Pro. При настоящем взломе, у нас был бы доступ к огромному количеству конфиденциальной информации.

Kraken Security Labs

Kraken — не единственная лаборатория, которой удалось обмануть дактилоскопический сенсор. В 2020 году Cisco Talos опубликовала отчёт с описанием похожего метода. В обоих случаях точность распознавания составила около 80%.

Эксперты отметили, что большинство пользователей вряд ли столкнётся со взломом, но при желании воспроизвести отпечатки пальцев нетрудно — они остаются на любых поверхностях, от бокала в ресторане до двери такси.

Рекомендации — не рассматривать сканер в качестве безопасной альтернативы надёжному паролю и использовать его только при двухфакторной авторизации.

0
54 комментария
Популярные
По порядку
Написать комментарий...

Сканер отпечатков пальцев и Face ID уже давно показали свою не эффективность. То подделывают отпечатки из подручных средств как в шпионском детективе, то лепят лица, чтобы обойти 3д-сканер. А самсунг флагманы и их аналоги вообще можно при помощи фотки разблокировать.

Поэтому самые безопасные устройства это Xiaomi. Их никто не украдет, а кто и украдет, точно не будет взламывать. Надо брать Xiaomi, они снова всех обыграли.

А ведь там еще есть 2 мб макро-объектив и топ за свои деньги.

45

лучше вводить пароль вручную, ведь в это время все отворачиваются, а камеры перестают снимать

25

Ну штош, тогда ждём пароль по ДНК, где надо будет облизывать устройство

3

Анальный блокиратор!

4

Каждому своё🤣🤣🤣🤣

1

смотри в сизо. попадешь и тоже захочешь такой

–2

Комментарий удален

Почему ты решил, что если пользоваться Xiaomi, твои данные никому не нужны. Сейчас куча псевдоинвесторов в крипту, воровать данные могут везде.
Apple хоть в каком то виде закрытая система и там сложности с взломом. А подобрать твой графический ключ будет как 2 пальца.

–4

сарказм не считался?

11

Нет сложностей со взломом только устройств вышедших менее полугода назад. Более старые взламываются разными способомами, в том числе прямо через веб браузер. Это можно реализовать вообще незаметно для пользователя и у пользователя (по умолчанию) нет даже возможностей самому исследовать файловую систему и процессы на устройстве, чтобы найти что то подозрительное и удалить малварь вручную. Я лично ненавижу сегодняшние смартфоны, за это, что малварь может получить права администратора (root), через уязвимости, а пользователям производители категорически не рекомендуют иметь права суперпользователя, и журналисты тоже поддерживают этот бред, пропагандируют против установки jailbreak или получения root прав. Хотя это наоборот даёт контроль пользователи и делает систему более безопасной.

4

Имхо, для реально опытных пользователей - да, это даёт контроль и безопасность владельцу. Это было бы удобно.
Для неопытных излишние системные права наоборот делают пользователя ещё более уязвимым к разного рода атакам.
По крайней мере, у неопытного юзера с повышенным привелегиями вероятность подхватить что-либо будет гораздо выше, чем у того же юзера без повышенных прав. Потому что встретить конкретный тип малвари, получающей рут, всё-таки сложнее, чем встретить любой другой тупой троянчик.
И как мне кажется, основной посыл именно в этом у журналистов, потому что много людей делают все по инструкциям, но сами не понимают того, чего делают, имхо.

P.S. Хотя если пользователь вообще неопытный, то тут даже и троян не нужен, он и сам все отдаст - но это уже другая история)

0

"Для неопытных излишние системные права наоборот делают пользователя ещё более уязвимым к разного рода атакам."

Нет, если к этому грамотно подойти, как сегодня реализовано на десктопных ОС (macOS, Windows, Linux), да там у пользователя есть права администратора и проблем с безопасностью это не вызывает, как например, во времена Windows 98, у современных систем хорошо продуман механизм повышения привелегий. И да малварь дырами в этом механизме тоже активно пользуется, но это не повод тотально блокировать права админа на смартфонах. Просто нужно улучшать механизм повышения привелегий, вместо того, чтобы запрещать его полностью. Другими словами, если болит голова, её рубить не стоит. А это то, что делают производители смартфонов сегодня. Особенно расстраивает, что такие компании, как Huawei, Xiaomi активно топят за полное лишение рут прав в их системах. Хотя они и так под санкциями (с Xiaomi вроде сняли), могли бы уже не выеживаться и сделать по человечески. ред.

0

Отчасти соглашусь, в нынешних реалиях механизм в системах более продуман. И то, что на смартфонах прям рубят, что даже опытным пользователям делается невозможным получение повышенных прав - тоже не очень.

Ключевое, что вы и сами написали - нужно грамотно подойти. К сожалению, мне известно достаточно много случаев, когда пользователи стреляют себе в ногу, ставя фулладмина себе, отключая UAC и даже встроенный в 10ке антивирь, лишь потому что "посоветовали", "надоело" или "привык" и тд.. ( Больная тема, а из недавнего - у знакомого дитё по совету из тиктоков "шобу дотка не лагала" поотрубалало себе дефендер, обновления, uac, службы какие-то, потом ещё в тот же день умудрился напороться на троянистый вымогатель )

1
Крошечный холод

Схуяль их никто не украдёт? Продать проще всего дешёвый ширпотреб, кстати.

0

Ой ты удивишься, сколько приносят краденных ксяо на сброс с ми аккаунта ))

0

Данил, я смеялась в голос! Твой сарказм на высоте, спасибо!

0

Тем временем мои эпловские девайсы: «хрен тебе а не распознавание, приложи свой палец ещё пару раз, тогда мб пустим». Причём макбук обычно ок, а ифон пздц бесит иногда. Сраные андроиды сильно лучше с этим справлялись

5

Сраные ведроиды можно разблокировать в целлофановых перчатках 😅 сейчас не помню о какой модели шла речь, на ютубе полно видосов на эту тему.

0

Любой девайс с оптическим сканером?

0
Крошечный холод

При Джобсе такого не было!

1

При Джобсе ещё не то было

6

но такого то не было !

6

да разное было

1

зато было то что было!

0

Скажем так, сравнивать надо с альтернативами. Если постоянно вводить код/пароль, то подсмотреть его с помощью хорошей камеры ещё проще. Давно уже научились перехватывать набираемый с клавиатуры текст чисто с излучения из клавиатурного провода.

Двухфакторная авторизация часто подразумевает использование смс, а смс — очень ненадёжный канал информации. Симки перевыпускают, сообщение перехватить нефиг делать, уже были случаи перехвата смс спецслужбами. Волшебной пули тут, к сожалению, нет. Всегда есть компромисс между удобством и надёжностью.

4

Согласен. Да и полностью обезопасить себя, скажем так, нереально, и ни один из способов не является абсолютно безопасным. Тут просто стоит выбирать "из двух зол меньшее".

Так, например, хоть смс и ненадежный вариант для двухфактора, однако будем честны, его абсолютно любой прохожий всё-таки не перехватит и для этого нужны административные ресурсы ( спецслужбы, связи у оператора ). То есть чтобы перехватить смс это не уровень "проверить мужа на измену", тут вопрос может быть в миллионах или миллиардах рублей ( ну или в избавлении от оппонента на выборах )).
Аналогично стоит смотреть и на отпечаток.
Да, не 100% безопасно, однако сильно сложнее для обхода, недели пинкод. Пинкод достаточно раз подглядеть, посмотреть по следам на экране.

0

Тю, это вы в даркнете не были. Пробиваются эти смс как нефиг делать. Не в режиме онлайн разве что.

0

Я знаю, что легко и доступно пробивается факт смсок, но про то, что могут пробить именно текст сообщения без привлечения достаточно весомых людей - не слышал.
Хотя если в даркнете есть сотрудники, обслуживающие, например, СОРМ, тогда все логично и нет противоречий..

0

Именно по этому, ждем в след. версии FaceID. С ним по сложнее будет уже взломать. Челку добавили в новых маках, faceid Только забыли.

1

Не забыли - faceid пока слишком громоздкий для встраивания в крышку 🤷

3

Посмотрел ОЕМ модули для телефонов, ничего крупного не вижу. Думаю маркетинг просто.

4

Толщину решили не учитывать?

6

соизмерима с обычной вебкамерой, влезет легко

0

Если вы не заметили, на фотографии модуль по отношению к крышке макбука. И куда он там влезет? ред.

2

На фото прекрасно видно, что не влезет.

2

Допилят напильником

1

Еще немного подробностей и ты бы вылетел с работы)

1

Не такой уж и надежный этот ваш Apple /s

–1

Любой сканер отпечатков так можно обмануть. Проблема в самой концепции технологии. Если это вообще проблема

3

Так сканеры по разным технологиям работают

3

Для взлома девайсы эппл просто нафиг никому не нужны, это не серверные системы.

–2

Чего это вдруг? А эти самые журналисты которых убили? А Дженифер Лоуренс? Очень даже нужны.

5

Продаваемые данные и в нужных объёмах чаще всего находятся именно на серверах. Сейчас взломать локальный компьютер и с двухфакторной авторизацией можно только голые фотки Лоуренс продавать дрочерам. А взломал сервер, заменил банковские номера поставщиков — и оплата в следующий раз полетит уже на другой адрес и незаметно для планктона вроде CFO (наша CFO так и попала на $300K пока не пришёл вопрос от поставщика — где же деньги?).

Журналисты — да, но опять-таки размер рынка минимален. А в определённых странах дешёвого 40 Вт паяльника хватает.

6

Да, то ли дело другие...

1

Не удивительно , у меня он вобще не срабатывает не на правом не на левом пальце) приходится вводить 5 значный код по 50 раз в день уже надоело .

0

не срабатывает не на правом не на левом пальце

Ну значит центральный попробуйте.
P.S. простите, не смог удержаться ;-)

1
Крошечный холод

“воспроизвести отпечатки пальцев нетрудно — они остаются на любых поверхностях, от бокала в ресторане до двери такси.”

Зачем такие сложности, если уже украли само устройство?)

1
Крошечный холод

Они играются в Хитмана: нужно поломать айпад, пока владелец вышел в туалет.

0
Крошечный холод

отпечаток снимут с туалетной бумаги

0

Ну не факт что украли, может просто есть доступ на несколько минут. Предварительно делаешь отпечаток с какого-нибудь стакана и действуешь когда человек в туалет отойдет.

0

Очень приятно)

1

а им слабо капчу обойти, где надо светофор указать на картинках?

1

Хуже светофора только пешеходные переходы.

0

Специалисты, которых мы заслужили...

0

нормально , уже даже на ноутах будет отпечаток, мб и на плазмы будут ставить?

0
Читать все 54 комментария
Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

ИТ-специалисты сообщили о блокировке Tor в России Статьи редакции

На проблемы с доступом пользователи жалуются с начала декабря.

От чтения мыслей до вторжения во сны: зачем исследуют сознание и чем это грозит Статьи редакции

Учёные научились считывать структуру фраз и даже визуальные образы из мыслей. Теперь они переживают, что компании внедрят в сны рекламу.

Чему создатели метавселенных могут поучиться у 3D-игры Second Life Статьи редакции

Её основатель ещё в нулевых говорил, что физический мир канет в прошлое, и завлёк в игру не только пользователей, но также бренды, политиков и СМИ. Какой он видит метавселенную, исходя из своего опыта, — в пересказе Time.

Кадр из игры Second Life SL Community
Tele2. Недоразумение со сменой тарифа

Моя бабушка пользуется тарифом без абонентской платы от Tele2. Недавно ей позвонили и предложили поменять тарифный план. Бабушка в этом ничего не понимает, но прекрасно понимает, что не стоит принимать решения, не посоветовавшись с детьми/внуками. Поэтому она, почти сразу,прервала разговор. На следующий день выяснилось, что с ее номера телефона…

Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

Сайты в 2021 году
SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Мой опыт общения с Почтой России

Первым делом хочу попросить прощения у всех граждан России. Благодаря моим действиям, описанным вкратце в этой статье, я получил некоторую сумму денег, которая иначе могла бы попасть в бюджет РФ. Но произошло это по вине сотрудников АО «Почта России». Учредителем и единственным акционером АО «Почта России» является Российская Федерация.

Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
null