Уязвимость заключается в том, что основанные на отпечатке пальца системы идентификации показывают маленькие датчики, которые не захватывают полный отпечаток пальца пользователя. Вместо этого они сканируют и хранят частичные отпечатки пальцев, и много телефонов позволяют пользователям регистрировать несколько различных пальцев в своей системе идентификации.
Идентичность подтверждена, когда отпечаток пальца пользователя соответствует любой из спасенных частичных печатей. Исследователи выдвинули гипотезу, что могло быть достаточно общих черт среди частичных печатей различных людей, что можно было создать «MasterPrint».Нэзир Мемон, преподаватель информатики и разработки в Нью-Йоркском университете Tandon и лидере исследовательской группы, объяснил, что понятие MasterPrint есть некоторое сходство хакеру, который пытается взломать основанную на PIN систему, используя обычно принимаемый пароль, такой как 1234. «Приблизительно 4 процента времени, пароль 1234 будет правилен, который является относительно высокой вероятностью, когда Вы просто предполагаете», сказал Мемон.
Исследовательская группа намеревалась видеть, могли ли бы они найти MasterPrint, который мог бы показать подобный уровень уязвимости. Действительно, они нашли, что определенные признаки в человеческих образцах отпечатка пальца были достаточно распространены, чтобы поднять проблемы безопасности.Memon и его коллеги, Постдокторант Нью-Йоркского университета Tandon Адити Рой и профессор Университета штата Мичиган Информатики и Технический Арун Росс, предприняли их анализ, используя 8 200 частичных отпечатков пальцев. Используя коммерческое программное обеспечение проверки отпечатка пальца, они нашли в среднем 92 потенциальных MasterPrints для каждой беспорядочно выбранной партии 800 частичных печатей. (Они определили MasterPrint как тот, который соответствует по крайней мере 4 процентам других печатей в беспорядочно выбранной партии.)
Они сочли, однако, всего один полный отпечаток пальца MasterPrint в образце 800 полных печатей. «Не удивительно, есть намного больший шанс ложного соответствия частичной печати, чем полная, и большинство устройств полагается только на partials для идентификации», сказал Мемон.Команда проанализировала признаки MasterPrints, отобранного от реальных изображений отпечатка пальца, и затем построила алгоритм для создания синтетического частичного MasterPrints. Эксперименты показали, что у синтетических частичных печатей есть еще более широкий потенциал соответствия, делая их более вероятно, чтобы одурачить биометрические системы безопасности, чем реальные частичные отпечатки пальцев. С их в цифровой форме моделируемым MasterPrints команда сообщила об успешно соответствии между 26 и 65 процентов пользователей, в зависимости от того, сколько частичных впечатлений отпечатка пальца было сохранено для каждого пользователя и принятия максимального количества пяти попыток за идентификацию.
Чем более частичные отпечатки пальцев, которые данный смартфон хранит для каждого пользователя, тем более уязвимый это.Рой подчеркнул, что их работа была сделана в моделируемой окружающей среде. Она отметила, однако, что улучшения создания синтетических печатей и методов для передачи цифрового MasterPrints к физическим экспонатам, чтобы высмеять устройство, излагают значительные проблемы безопасности. Высокая способность соответствия MasterPrints указывает на проблемы проектирования заслуживающих доверия основанных на отпечатке пальца систем идентификации и укрепляет потребность в схемах идентификации мультифактора.
Она сказала, что эта работа может сообщить будущим проектам.«Поскольку датчики отпечатка пальца становятся меньшего размера в размере, обязательно для разрешения датчиков быть значительно улучшенным для них, чтобы захватить дополнительные особенности отпечатка пальца», сказал Росс. «Если резолюция не будет улучшена, отчетливость отпечатка пальца пользователя неизбежно поставится под угрозу. Эмпирический анализ, проводимый в этом исследовании ясно, доказывает это».Мемон отметил, что результаты исследования команды основаны на основанном на мелочах соответствии, которое какой-то конкретный продавец может или может не использовать.
Тем не менее, пока частичные отпечатки пальцев используются для того, чтобы открыть устройства, и многократные частичные впечатления за палец сохранены, вероятность нахождения, что MasterPrints значительно увеличивается, сказал он.«Инвестиции NSF в исследование кибербезопасности строят основополагающую базу знаний, должен был защитить нас в киберпространстве», сказала Нина Амла, директор программы в Подразделении Фондов Вычисления и Коммуникации в Национальном научном фонде. «Очень, поскольку другое финансируемое NSF исследование помогло определить слабые места в повседневных технологиях, таких как автомобили или медицинские устройства, исследование слабых мест основанных на отпечатке пальца систем идентификации сообщает непрерывным продвижениям в безопасности, обеспечивая более надежную защиту для пользователей».