Nabootsen van vingerafdrukken: het kan, maar is moeilijk

Onderzoekers hebben een manier gevonden om vingerafdrukken na te bootsen om tal van apparaten om de tuin te leiden, maar het kostte veel moeite.

Er woedt al jarenlang een vurig debat over de veiligheid van autorisatie op basis van vingerafdrukken. In 2013, kort na de uitgave van de iPhone 5S met TouchID, toonden onderzoekers aan dat deze technologie te kraken was door een vingerafdruk op een glazen oppervlak te fotograferen en dit te gebruiken om een afdruk te maken die het systeem voor de gek kon houden. Maar technologie staat nooit stil en de verbeteringen waren hoopvol.

Vorig jaar begonnen fabrikanten bijvoorbeeld met het uitrusten van smartphones met ultrasone vingerafdrukscanners verborgen onder het scherm, waardoor er geen aanvullende panelen meer nodig waren en het dus in principe veiliger zou zijn.

Onze collega’s bij Cisco Talos besloten te onderzoeken hoe eenvoudig het was om verschillende types vingerafdrukscanners in moderne apparaten om de tuin te leiden, of om te zien of deze technologie eindelijk helemaal veilig is.

Vingerafdruk-autorisatie — theorie

Allereerst een korte opfriscursus over hoe vingerafdrukscanners werken. Het idee is eenvoudig: plaats uw vinger op een smartphone- of laptopscanner of een slim slot en de sensor verkrijgt een afbeelding van uw vingerafdruk. Elk soort scanner herkent vingerafdrukken op zijn eigen manier. Het Cisco Talos-team focuste op de drie populairste manieren:

  • Capacitieve scanners zijn het gebruikelijkst. Deze scanners creëren een afbeelding met gebruik van een kleine elektrische lading die wordt gegenereerd door ingebouwde condensators die elektriciteit kunnen opslaan. Als de vinger de scanner aanraakt, ontladen deze condensators. Bij meer contact (de kammen van de vingerafdruk) is er meer ontlading; en bij de ruimtes tussen de huid en de sensor (de valleien) is dit minder. De scanner meet het verschil en bepaalt zo het patroon.
  • Optische scanners maken in principe een foto van de vingerafdruk. Het apparaat verlicht de vinger via een prisma, de kammen en valleien weerspiegelen dit licht op verschillende wijze, en de sensor leest deze informatie en zet die om in een afbeelding.
  • Ultrasone scanners gebruiken een ultrasoon signaal in plaats van licht, en nemen de echo op die door de kammen en valleien wordt gegenereerd (net als bij lichtreflectie hebben deze verschillende echo’s). Bij dit soort scanner is geen contact met de vinger vereist, dus die kan onder het scherm worden geplaatst. Bovendien “hoort” het niet alleen het gedeelte van de vinger dat dicht bij het oppervlak is, maar ook de randen die zich verder van de sensor af bevinden, zodat de afbeelding bijna driedimensionaal wordt, wat de scanner helpt om nepafdrukken te detecteren die vlakke kopieën of prints gebruiken.

Nu de scanner onze vingerafdruk heeft, vergelijkt het die met andere afdrukken die op het apparaat zijn opgeslagen. Omdat geen enkele methode voor het lezen van vingerafdrukken perfect is, staat elke fabrikant een bepaalde foutmarge toe.

Hoe hoger die marge is, hoe eenvoudiger het is om een vingerafdruk na te bootsen. Als de instellingen strenger zijn en de foutmarge lager, is het moeilijker om de scanner te foppen, maar dan is het ook waarschijnlijker dat de gadget de echte eigenaar soms niet herkent.

Hoe de onderzoekers de vingerafdrukken nabootsten

Om een fysieke kopie van een vingerafdruk te kunnen maken hebt u natuurlijk eerst die vingerafdruk nodig. Het onderzoeksteam vond drie manieren om dat voor elkaar te krijgen.

Hoe steelt u een vingerafdruk. Methode 1: Maak een vorm

Het is mogelijk om een vorm van de gewilde vingerafdruk te maken als het slachtoffer bijvoorbeeld bewusteloos of onwel is. Een zacht materiaal waar de afdruk in blijft zitten is geschikt, zoals bijvoorbeeld modelklei.

Een aanvaller kan deze vorm gebruiken om een imitatie-vingerafdruk te maken. Het lastige hieraan is natuurlijk dat het slachtoffer zich in een geschikte staat moet bevinden en fysiek toegankelijk moet zijn.

Hoe steelt u een vingerafdruk. Methode 2: Krijg een scannerafbeelding in handen

Een ander manier om een vingerafdruk te verkrijgen is met een scanner. Deze methode is technisch gezien ingewikkelder, maar het goede nieuws voor kruimeldieven is dat niet alle bedrijven biometrische gegevens op betrouwbare wijze opslaan. Het is dus niet onmogelijk om online gescande vingerafdrukken te vinden of om ze tegen een zacht prijsje op darknet te kopen.

Vervolgens moet deze vlakke afbeelding in een 3D-model worden omgezet en met een 3D-printer worden geprint. Eerst liet het programma waar de onderzoekers de tekening in maakten ze niet de grootte instellen. Ten tweede moest het fotopolymeer dat in de goedkope 3D-printer werd gebruikt na het printen verhit worden, waardoor de afmetingen van het model werden aangetast.

Ten derde bleek, toen de onderzoekers er eindelijk in slaagden om een goed model te maken, dat het polymeer waar het van was gemaakt te hard was, en hier liet geen enkele scanner zich door beetnemen. Als oplossing besloten de onderzoekers in plaats van een model van een vinger om juist de uitsparing van de vorm te maken, die ze vervolgens gebruikten om een prothetische vinger van een elastischer materiaal te maken.

Hoe steelt u een vingerafdruk. Methode 3: Maak een foto van een vingerafdruk op een glazen oppervlak

Een andere optie, en tevens de eenvoudigste, is om een foto van de gewilde vingerafdruk op een glazen oppervlak te maken. Dat is precies wat er gebeurde in het geval van de iPhone 5S. De afbeelding wordt verwerkt om de juiste mate van helderheid te verkrijgen, en gaat dan net als eerder naar een 3D-printer.

De onderzoekers ontdekten dat de experimenten met 3D-printers lang en saai waren. Ze moesten met vallen en opstaan de printer kalibreren en een vorm van de juiste afmetingen vinden, en het daadwerkelijke printen van elk model (50 in het totaal) met de vereiste instellingen duurde een uur. Dus het maken van nepvingerafdrukken om een gestolen smartphone te ontgrendelen is niet iets dat zo gebeurd is. Daarnaast is het kopiëren van de vingerafdruk van een slapend slachtoffer een ook niet bepaald een snelle methode.

Het maken van een vorm om de vingerafdruk na te maken is het halve werk. De materiaalkeuze voor het model zelf bleek veel moeilijker te zijn, want het nepmodel zou getest worden op drie soorten sensoren, elk met een verschillende manier van lezen van de afdrukken. Of het materiaal bijvoorbeeld stroom kan geleiden is irrelevant voor ultrasone en optische sensoren, maar niet voor het capacitieve type.

Maar dit gedeelte van het proces is nou net voor iedereen toegankelijk: het beste materiaal voor valse afdrukken is goedkope textiellijm.

Welke apparaten werden gekraakt met valse vingerafdrukken

De onderzoekers testten hun nepafdrukken op verschillende smartphones, tablets en laptops van diverse fabrikanten, evenals op een slim slot en twee USB-sticks met een vingerafdruksensor: de Verbatim Fingerprint Secure en de Lexar Jumpdrive Fingerprint F35.

De resultaten waren nogal ontmoedigend: de meerderheid van de smartphones en tablets kon 80% – 90% van de keren gefopt worden, en in sommige gevallen was het slagingspercentage zelfs 100%. De 3D-geprinte vormen waren het minst effectief, maar het verschil was niet erg groot; alle drie van de hierboven beschreven methodes werkte goed.

Er waren uitzonderingen. Het onderzoeksteam slaagde er bijvoorbeeld niet in om de smartphone Samsung A70 te kraken, hoewel hierbij vermeld moet worden dat de A70 ook het minst succesvol is bij het herkennen van de echte eigenaar.

Apparaten die op Windows 10 draaiden bleken ook niet te kraken te zijn, ongeacht de fabrikant ervan. De onderzoekers schrijven deze buitengewone consistentie toe aan het feit dat het besturingssysteem zelf de vingerafdrukken vergelijkt, dus er hangt in dit geval weinig af van de fabrikant van het apparaat.

Ondertussen bewezen de beschermde flash drives dat ze hun naam eer aan doen, al waarschuwen onze onderzoekers hierbij dat ook deze kwetsbaar kunnen zijn voor een meer geavanceerde aanval.

En ten slotte waren de makkelijkste apparaten om voor de gek te houden de ultrasone vingerafdrukscanners. Ondanks hun vermogen om een 3D-afbeelding waar te nemen, lazen ze nepafdrukken als echt als een echte vinger de nepafdruk op de sensor drukte.

Vingerafdrukbeveiliging voor gewone gebruikers

Volgens de onderzoekers laat de veiligheid van op vingerafdrukken gebaseerde autorisatie een hoop te wensen over, en de situatie is in zekere mate zelfs verslechterd in vergelijking met eerdere jaren.

Dat gezegd hebbende: het maken van een nepvingerafdruk is een tijdverslindende bezigheid, wat betekent dat de gewone gebruiker niets te vrezen heeft. Maar als er toevallig goed gefinancierde criminelen in het spel zijn die het op u gemunt hebben, of een inlichtingendienst, dan is het een ander verhaal. In dat geval is het het beste om al uw apparaten met een goed, ouderwets wachtwoord te beveiligen. Het kraken van een sterk wachtwoord is immers lastiger, en u kunt het altijd veranderen als u vermoedt dat het in de verkeerde handen is gevallen.

Tips