Sangat mudah untuk menipu pengimbas cap jari telefon anda. Inilah cara kita memperbaikinya.

Awal minggu lalu, saya memasang sensor cap jari pada iPhone baru saya. Ketika itulah saudara saya, @Prateek , muncul idea untuk menguji sensor cap jari mudah alih ini.

Ujiannya adalah untuk mengimbas jarinya dan juga jari saya pada masa penyediaan cap jari. Anda tahu bagaimana peranti ini meminta anda mengangkat dan kemudian meletakkan jari anda beberapa kali untuk menangkap semua sudut yang mungkin. Oleh itu, kami berjaya - jarinya mengimbas beberapa kali ketika telefon mengharapkan saya mengangkat dan meletakkan jari saya sahaja.

Yang mengejutkan saya, kami berjaya menggertak telefon. Persiapan selesai, dan sekarang kami berdua dapat menggunakan jari untuk membuka kunci telefon. Ini adalah bagaimana tetapan kelihatan - hanya satu jari yang dikonfigurasi, dan kami berdua dapat membuka kunci telefon.

Pemikiran merangkumi otak kita: adakah ini semacam bug, atau apa? Buat masa ini, ini adalah masa untuk latihan yang menyeronokkan - untuk mencubanya dengan semua telefon lain yang menyokong pengesan cap jari.

Oleh itu, kami memulakan dengan pelbagai telefon Android, beberapa dengan ROM stok dan yang lain dengan sistem operasi tersuai dari pihak ketiga seperti Micromax, Lenovo, dan Xiaomi. Hasilnya sama untuk semua. Kita masing-masing dapat menggunakan jari kita untuk membuka kunci telefon yang sama sementara hanya satu jari yang dipasang.

Pertama, mari kita fahami bagaimana pengimbas cap jari mudah alih ini berfungsi

Sejauh ini, terdapat dua teknologi popular dan teras di sebalik pengimbasan cap jari di telefon bimbit.

Pengimbas Optik - teknik ini menggunakan imej optik untuk menangkap pelbagai gambar jari anda. Sejenis kamera berketepatan tinggi dan sedikit LED melakukan tugas di sini. Perisian kemudian membandingkan gambar dua dimensi ini dengan gambar yang diambil dari jari yang diimbas.

Oleh kerana ini pada dasarnya hanyalah gambar yang dibandingkan, pengimbas ini mudah ditipu. Gambar jari yang dicetak menggunakan pencetak DPI tinggi sudah cukup untuk menipu jenis pengimbas ini.

Pengimbas kapasitor - di sini pelbagai kapasitor menangkap corak dari gambar yang diimbas. Litar elektrik yang kompleks di bawahnya menangkap data dan digunakan untuk membandingkan jari yang diimbas.

Teknik ini jauh lebih selamat dan sukar ditipu. Gambar definisi tinggi jari tidak dapat digunakan untuk membuka kunci telefon. Telefon Samsung Galaxy S8 mendakwa ia menggunakan teknik ini.

Sekarang masa untuk perbahasan: betul atau tidak?

Pada mulanya, apabila anda melihat ini berlaku, anda dapat mengetahui sesuatu yang tidak biasa sedang berlaku. Untuk memastikan pengimbas cap jari anda selamat, komponen berikut penting:

  • Teknik Pengimbasan - perkakasan yang digunakan untuk mengimbas jari dan mengekstrak data / corak daripadanya.
  • Penyimpanan - Pangkalan data di mana data / corak cap jari disimpan.
  • Algoritma - yang digunakan untuk menyimpan dan membandingkan corak yang diimbas.

Untuk keselamatan keseluruhan, rakaman cap jari sama pentingnya dengan merujuk pangkalan data untuk pengesahan. Nampaknya kekurangan dan ketidakcekapan cara cap jari disimpan.

Melihat kes di atas, nampaknya pelbagai kesan cap jari yang dikumpulkan pada masa penyediaan disimpan sebagai kumpulan data yang bebas. Apabila anda mengimbas jari untuk membuka kunci peranti, imbasan dibandingkan dengan susunan representasi jari binari yang dipindai pada saat penyediaan. Mungkin, ini adalah bagaimana kami dapat menipu telefon dengan mengimbas jari orang lain pada masa persediaan.

Tampaknya ada masalah konseptual dan mendasar dalam bagaimana sistem ini berfungsi.

Saya tidak dapat menuntut kes penggunaan di mana ini boleh menyebabkan jurang keselamatan. Tetapi kerana penyesuaian pengesahan berasaskan sidik jari meningkat dengan pesat, dan penggunaannya melampaui membuka kunci peranti anda, masuk akal untuk meningkatkan teknologi untuk merapatkan jurang.

Jadi, apa seterusnya?

Pada masa penyediaan, imbasan jari berturut-turut dapat dibandingkan antara satu sama lain untuk memastikan bahawa semua imbasan yang dirakam menggunakan jari yang sama. Jelas sekali terdapat peratusan pertindihan antara pelbagai imbasan. Perkara seperti itu akan menghentikan Prateek Dwivedi mengimbas jarinya ketika saya sedang berusaha untuk menyiapkan telefon. Ini akan memastikan cara cap jari ditangkap pada saat persediaan.

Pengambilan boleh dibuat lebih selamat dengan tidak membandingkan imbasan untuk membuka kunci peranti dengan hanya satu daripada imbasan yang disimpan sebelumnya. Sebaik-baiknya, imbasan akan dibandingkan dengan tahap tinggi dengan salah satu representasi yang tersimpan, dan juga akan dibandingkan dengan semua imbasan lain hingga tahap tertentu. Daripada hanya bergantung pada satu pertandingan yang optimum, kita harus mencetak gol berdasarkan perbandingan dari semua perwakilan. Peratusan perbandingan terkumpul harus dipertimbangkan untuk mengesahkan.

Kesimpulannya

Sebagai kesimpulan, seperti yang saya nyatakan di blog saya sebelumnya - "Pengenalan & penggunaan Bio-metrik dalam Aplikasi Perbankan Mudah Alih:"

Pengesahan bio-metrik belum cukup selamat. Baru-baru ini, kita telah melihat kecenderungan dan beralih ke arah menggunakan teknik ini untuk pembayaran dan transaksi kewangan juga. Peningkatan telefon bimbit dan peranti IoT telah menambah penyesuaian teknik pengesahan bio-metrik. Sudah tiba masanya untuk berfikir lebih banyak tentang menjadikan teknologi pengesahan bio-metrik lebih selamat dan sukar dikompromi.

Ikuti saya di medium - Nikhil Dwivedi.

Pemegang twitter saya adalah - @Niks_Dwivedi