Os scanners de impressão digital são um método conveniente para acessar seus telefones e dispositivos, mas eles não são seguros. Se você deseja segurança, deve usar um PIN longo ou, melhor ainda, uma senha (se possível). Pesquisadores da Cisco Talos enfatizaram esse ponto quando invadiram vários dispositivos usando uma impressora, software e cola de US $ 2.000 em resina 3D.
Agora, o objetivo da pesquisa não é sugerir que seu vizinho possa entrar facilmente no seu dispositivo com uma impressora 3D pronta para uso e um pouco de pó de impressão digital. Não, os pesquisadores do Talos admitem plenamente que o que fizeram é um trabalho tedioso e exigiria um orçamento em torno de US $ 2.000.
Mas, embora esse não seja o "dinheiro médio do Joe médio" e o conhecimento do Google, ele está dentro do domínio de muitos orçamentos e recursos de órgãos de aplicação da lei e agências governamentais.
Para testar a segurança da autenticação de impressão digital em seus dispositivos, a equipe do Talos decidiu manter o orçamento relativamente baixo. Eles então usaram três métodos para coletar impressões digitais. Primeiro, eles criaram moldes usando plasticina. Segundo, eles copiaram digitalmente impressões digitais de um sensor de impressão digital – especificamente, o tipo que você pode usar ao entrar na alfândega ou entrar em um negócio. Terceiro, eles tiraram fotos de impressões digitais em vidro escovado com pó de magnésio (semelhante ao “tirando o pó das impressões digitais).
O primeiro método serviu como controle, pois criaria a impressão digital mais precisa.
Eles então usaram o software para combinar conforme necessário e aprimorar os dados de impressão digital de sensores ou imagens e os exportaram para um arquivo de impressora 3D. Isso permitiu que eles imprimissem em 3D um molde de resina (que exigia uma impressora especializada em UV) para criar impressões digitais. Os pesquisadores tentaram imprimir impressões digitais diretamente, mas isso falhou. Em vez disso, os moldes impressos em 3D combinados com cola têxtil fizeram o truque.
Com as impressões digitais falsas na mão, a Talos descobriu que poderia desbloquear dispositivos móveis 80% do tempo. Eles testaram dispositivos Apple, Samsung e Huawei e obtiveram sucesso com cada dispositivo, independentemente do tipo de sensor de impressão digital usado.
Laptops eram uma história diferente. O Windows Hello não caiu nas impressões digitais falsas, mas enganaram o Apple MacBook Pros. Da mesma forma, os USBs Verbatim e Lexar não foram desbloqueados pelas impressões digitais falsas.
Ainda assim, a alta taxa de sucesso em smartphones é reveladora. Isso não significa que foi fácil; de acordo com o Talos, as margens de erro são pequenas. Uma impressão digital apenas 1% grande ou muito pequena falhará ao desbloquear dispositivos, por exemplo. E, devido ao processo de cura, a obtenção de uma impressão digital falsa que funcionava geralmente exigia mais de 50 tentativas de mofo. No geral, o Talos descreveu o processo como "difícil e tedioso".
Mas a pesquisa mostra que, para uma entidade com tempo, paciência e orçamento de até US $ 2.000, a invasão de seu telefone bloqueado por impressões digitais é totalmente viável. Se você não prevê um problema com esse conhecimento, recursos como o TouchID ainda oferecem muitas conveniências. Mas, para maior segurança, mude para um PIN.
Fonte: Talos