在4月8日發布的博客文章《指紋克隆:神話還是現實?》中,思科Talos研究員PaulRascagneres以及技術主管兼安全研究員VitorVentura得出結論,“3D打印技術可以欺騙電話和計算機指紋掃描儀。”他們收集了真實人物的真實指紋-包括臭名昭著的黑幫成員AlCapone,然后用3D打印機創建了指紋模具。
根據這項研究現實,在使用假指紋的過程中,Rascagneres和Ventura的平均成功率約為80%。在視網膜掃描和面部識別技術之前,指紋掃描是比較常見的生物識別方式。
Ventura說:“我們想看看指紋認證是否安全。”
通過利用Rascagneres作為3D藝術家的特長,這兩位研究人員測試了不同品牌和設備模型,并開發了與實際情況相匹配的威脅模型。
Rascagneres說:“隨著最近生物特征信息的泄漏以及3D打印技術的進步,以及指紋認證的大量使用,我們想知道創建偽造指紋的難度有多大。我們有兩個主要目標:盡可能接近現實世界的體驗,并與世界分享我們的過程,并說明在低預算的情況下完成這項工作的難度。”
研究人員在博客中寫道,他們以“預算限制為前提,看看這是否可以在低預算情況下完成,還是需要由國家資助的參與者完成。”
Rascagneres說:“在我們的預算情況下,這很耗時。每次嘗試都需要花費數小時。而資金雄厚的攻擊者可以獲得更好更昂貴的打印設備,例如醫療設備。通過更大的預算,我們認為這個過程將得到改善和更加準確。”
在進行研究時,他們發現他們的3D打印方法無法攻破WindowsHello生物特征認證。
Rascagneres說:“我們認為微軟算法更嚴格。指紋認證需要控制指紋上的多個點,我們認為MicrosoftWindows比其他設備需要驗證更多的點。”
該博客還提到了蘋果公司,并指出“除了蘋果以外,大多數傳感器都是由第三方開發的”,這是一個優勢。
Rascagneres說:“從實現的角度來看,更容易成為整個協議棧的所有者。”
這并不是研究人員第一次質疑生物識別認證的有效性。例如,2018年,紐約大學丹頓分校和密歇根州立大學的研究人員開發了DeepMasterPrints,這是AI生成的偽造指紋圖像,可能蒙騙生物識別傳感器。
而在兩年后,Rascagneres和Ventura發現,指紋技術仍未發展到足以應對所有提議的威脅模型。
現在,攻擊者可以從由機器學習生成的高級攻擊(例如DeepMasterPrints)轉移到低級的廉價的打印攻擊。
Rascagneres和Ventura在博客中寫道:“3-D打印技術使任何人都可以創建偽造的指紋。不僅如此,還可以利用適當的資源大規模地進行偽造。
