aau讯(编辑 卢晶)像大多数生物识别系统一样,指纹锁可以提供足够的保护,使其免受恶意攻击,但犯罪分子可能会借助工具对其进行破解,以获取隐藏在智能手机或帐户中指纹的个人数据。使用生物识别数据进行身份验证并不是什么新鲜事,面部识别、视网膜扫描和语音识别通常被用作密码的替代品。但是在最近几年中,3D打印技术使任何人都可以创建伪造的指纹,并使用它们来获得对系统的未授权访问。在8月8日举行的DEFCON 2020虚拟安全会议上,Dreamlab Technologies的安全研究员及3D打印爱好者Yamila Levalle 介绍了如何使用仅基于紫外线树脂的SLA 3D打印机和价值10美元的材料骗过手指认证。
据悉,生物识别系统容易受到各种各样的攻击,但是Levalle选择专注于欺骗,这种欺骗是在欺骗传感器而不是对其进行更换或篡改时发生的。这位专家称,要找到匹配的对象,大多数指纹扫描仪都会使用复杂的算法来识别、测量和分析指纹特征,“类似于通过恒星的相对位置识别部分天空。” 首先,她选择尝试一些绕过传感器的传统方法,例如使用橡皮糖和橡皮泥的油脂攻击,以了解3D打印技术如何使这些攻击更好、更快地进行。
Anycubic Photon 3D打印机和树脂。
为了测试3D打印的破解作用,Levalle使用了Anycubic Photon 3D DLP /SLA打印机;紫外线树脂及数字增强潜在指纹的软件;3D CAD设计工具(例如Tinkercad)以及在玻璃中的潜在指纹或在纸中的指纹墨水。
要获得有效的指纹,需要进行深入的操作指南,其中包括使用具有宏功功能的数码相机抬高潜在指纹,然后使用数字增强工具(例如Python)或任何种类的图形软件,以优化线条。增强的JPG文件转换为SVG(可缩放矢量图形)文件后,可以将其导入Tinkercad,在其中配置尺寸和脊高以创建指纹的3D模型。Levalle声称,这是最重要的步骤,请确保根据原始潜在指纹的尺寸来打印指纹的长度和宽度,因为正确的凸脊高度将允许假指纹在不同的传感器和扫描仪中工作。通常,指纹突出部分高度在20到60微米之间,因此对于此特定研究,基于25微米精度的UV树脂设备可胜任。
最后,Levalle建议创建两个不同的3D模型,一个用于铸造的阴图或空心模型,用于直接测试的一个正模。然后关闭3D打印机。完成打印后,将它们在异丙醇中冲洗,并使用紫外线灯或直射阳光进行后固化。为了铸造手指,在3D打印的空心模具中只填充了几滴液态乳胶或木胶(声称较薄的假手指比较厚的假手指更有效),并且在干燥后固化成橡胶状稠度。
UV后固化灯中的3D打印模具。
对此,Levalle进行了十次尝试,以实现最佳的打印机设置和脊高。在她创建的两个选项中,从液态乳胶或木胶浇铸的3D模具中获得的指纹适用于四个传感器,从三星S10智能手机中使用的最新超声指纹扫描技术到旧的光学指纹传感器模型,尽管这里她需要将可可脂润唇膏或凡士林涂在假指纹上,以使传感器真正识别出来。另一方面,直接在UV树脂上打印的3D模型,但仅在超声传感器和光学元件中起作用,这主要是由于树脂的硬度未能被识别为手指。
用液态乳胶和木胶浇铸3D打印模具。
智能手机、笔记本电脑、扫描仪和其他设备中的生物识别技术漏洞通常会吸引安全专家的注意,这些专家已经确定了严重的隐私泄露问题以及犯罪分子可以破坏这些系统的方式。28年来,DEFCON是全球规模最大、历史最悠久的网络安全会议,聚集了网络安全领域的权威专家和创新者,就新兴技术面临的威胁以及如何防御这些威胁提供了新的观点。2020年会议是有史以来第一次改期,因为原定于8月6日至9日举行的活动由于COVID-19大流行而被取消。
与过去的许多DEFCON演示一样,黑客说明非常详细,可以由经验丰富的安全专家复制。过去,拉斯维加斯DEFCON的与会者可以参加许多演示,从使用指南到在45分钟内破解20台设备,再到骇人听闻的针对政府系统的黑客故事(被视为任何人的必看之选)。Levalle的演讲重点介绍了在主导不同市场的系统中的各种漏洞,其中大多数似乎正在迅速发展。预计到2023年,仅15亿移动用户将依靠生物识别安全,近60%的企业 使用指纹扫描技术,很明显,生物识别认证只会增加,威胁也会随之增加。
“在数据公司经历了由生物识别发生的几次信息泄漏后,我感到有动力去做这项工作,并展示了实际进行攻击所需的步骤。在2019年的一次网络安全竞赛中,我目睹了一个团队设法破解了指纹传感器,但是关于其操作方法的信息并不多,只是他们在玻璃上拍摄了指纹的照片,然后20分钟后,他们制作出了假指纹。因此,我尝试使用自己的设备在家中复制此文件,并选择与同事在此平台上发布白皮书。” Levalle解释说。“这是提高生物识别安全性的好方法,它可以检测出欺骗攻击中使用的假指纹。”
为了检测对指纹系统的显示攻击,包括Levalle在内的一组研究人员建议分析样品的清晰度、颜色、亮度水平、结构变形、局部伪影、吸光度、材料弹性和水分含量。但是,即使扫描仪和安全专家变得越来越有能力检测伪造的生物特征数据,但网络犯罪分子也在改善技术以制造更好的伪造品,并继续致力于数据盗窃。
你对此新闻有何看法?想获得关于3D打印行业的更多信息?请登录www.lc1024.com加入社区参与这一话题以及其他3D打印话题的讨论吧。