Ten sam odcisk palca może odblokować smartfony różnych osób. Naukowcy umieją go stworzyć
Biometryczne logowanie i odblokowywanie smartfonów zostało uznane za lepsze od haseł między innymi przez Microsoft. Jednak nie ma zabezpieczenia, którego nie da się obejść. Naukowcy opracowali sposób generowania odcisków palców, które mogą oszukać zabezpieczenia odciskami palców różnych osób.
Grupa naukowców z Uniwersytetu w Nowym Jorku i Uniwersytetu stanu Michigan opracowała sposób generowania odcisku palca, który posłuży jako „klucz generalny” i będą w stanie na przykład odblokować smartfony kilku osób. Generowany układ linii papilarnych nie gwarantuje sukcesu, ale zapewnia wyższe szanse na odblokowanie czyjegoś smartfonu, niż wypada. W przeciwieństwie do tradycyjnych ataków biometrycznych, nie trzeba mieć dostępu do danych o prawdziwym odcisku palca właściciela atakowanego urządzenia, dzięki czemu taki atak jest bardziej uniwersalny.
Naukowcy wykorzystali model maszynowego uczenia do generowania fałszywych odcisków palca, które mogą przypominać dużą liczbę prawdziwych układów linii papilarnych. By tego dokonać, podali modelowi do analizy odciski palców ponad 6 tysięcy osób. Graficznym układom towarzyszyły dane dostarczone przez czytniki linii papilarnych w smartfonach. Na podstawie tych danych model zaczął tworzyć własne, które z kolei były analizowane przez model określający ich prawdziwość. Odrzucone wracały do generatora, były poprawiane i ponownie kontrolowane tak długo, aż był w stanie skutecznie oszukiwać model analizujący. Wykorzystane zostało więc nienadzorowane uczenie maszynowe w schemacie generative adversarial networks (GAN). W skrócie można powiedzieć, że dwa modele konkurowały ze sobą w grze o sumie zerowej.
Syntetyczny odcisk palca powstał po to, by złamać biometryczne zabezpieczenia we współczesnych smartfonach. Pojemnościowe sensory zwykle odczytują tylko część układu linii papilarnych ze względów praktycznych. Trudno wymagać od posiadacza smartfonu, by za każdym razem kładł palec na czytniku w ten sam sposób. W konsekwencji smartfony można odblokować korzystając z syntetycznych odcisków palców, mających wiele cech wspólnych z wieloma prawdziwymi odciskami palców. Dla czytników o niskim wskaźniku bezpieczeństwa może to być nawet 76 proc. skuteczności, nie są one jednak popularne. Najczęściej w smartfonach spotykane są czytniki „średnie”, mylące się w 0,1 proc. prób. Syntetyczne odciski palców oszukują je w 22 proc. przypadków. Czytniki najwyższej klasy udawało się oszukać w zaledwie 1,2 proc. prób.
Warto wiedzieć, że nie jest to pierwszy przykład takiego ataku na zabezpieczenia biometryczne. Fakt, że są one podatne na otwarcie „kluczem generalnym”, został nagłośniony w kwietniu 2017 roku i nazwany MasterPrint. Nazwa „klucz generalny” została zapożyczona z systemów zamków do drzwi, stosowanych na przykład w hotelach, gdzie obsługa tym samym kluczem może otwierać różne zamki. Obrazowe porównanie bardzo dobrze oddaje sposób działania ataku. W opisanym powyżej przypadku do tworzenia generalnego odcisku palca po raz pierwszy wykorzystane zostało maszynowe uczenie, stąd nazwa DeepMasterPrint.
