Bilim İnsanları: Üreticiler Artık Parmak İzi Kilitlerinden Vazgeçmeliler
Telefon ve bilgisayarların güvenlikleri için kullanılan parmak izi okuyucuları kandırmanın düşük maliyetli bir yolu daha bulundu. Araştırmacılar, üç boyutlu yazıcı ile ürettikleri parmak kılıfı ile parmak izi tarayıcıları yüzde 60 başarı ile kandırabildiler. Araştırmacılara göre artık üreticilerin parmak izi kilidinden vazgeçme zamanları geldi.
Parmak izi sensörleri, neredeyse 10 yıldır telefon ve bilgisayarların güvenlik sistemlerinde görev alıyorlar. Cihazlara fiziksel erişim sağlayan hackerların aşması gereken ilk engel, bu parmak izi okuyucular oluyor.
Yapılan yeni çalışmalar, yeni teknolojilerin parmak izi okuyucuları aşabilecek araçları daha uygun fiyatlı hale getirdiğini gösteriyor. Parmak izi okuyucular üzerinde çalışma yapan Cisco Talos’tan araştırmacılar, 2.000 doların altında bir bütçe ile oluşturdukları 3 boyutlu yazıcı ile parmak izi kilitlerini aşmayı başardılar.
Cisco Talos araştırmacılarından Craig Williams, parmak izi okuyucularını atlatmak için büyük miktar paraya ihtiyaç olmadığını söylüyor. Williams, 3 boyutlu yazıcıların evlerde kullanılabilecek kadar uygun fiyatlı hale gelmesi ile beraber artık herkesin parmak izi okuyucuları aşacak bir şeyler yapabileceğini söylüyor. Williams, bu işlemin evde yapılabilmesi için 3 boyutlu yazıcıyla birlikte bilgi ve birikim gerektiğinin de altını çiziyor.
3 boyutlu yazıcılar şimdi de parmak izi tarayıcıları kandırmak için kullanılıyor
Araştırmacılar, 3 boyutlu yazıcılarla parmak izi okuyucuları atlatabilecek bir ürün ortaya çıkarmak için ilk etapta üç farklı senaryo kullandılar. İlk senaryo, kullanılacak parmak izinin bir kalıbını elde etmekti. İkinci senaryo ise sensör verilerinden parmak izinin elde edilmesiydi. Üçüncü senaryo ise parmak izi bulunan şişe gibi yerlerden parmak izinin elde edilmesiydi.
Araştırmacılar, üç farklı senaryo ile elde ettikleri parmak izlerini bir parmak kılıfı olarak üretmek için reçineyi UV ışık aracılığıyla kürleyen bir ultraviyole 3 boyutlu yazıcı kullandılar. Daha sonra çıktı almak için silikon gibi malzemeleri denediler. Şaşırtıcı bir şekilde kumaş tutkalı kullanılarak alınan baskılar, en başarılı olanları oldu.
Parmak izi okuyucuları kandırmak için yapılan baskılar, sensörlerin baskıyı parmak olarak algılaması için parmak kılıfı şeklinde yapıldı. Bu şekilde herhangi bir bu kılıfı parmağına takarak parmak izi sahibinin cihazının güvenliğini aşabiliyor.
Cihazın fiyatı ile parmak izi okuyucusunun güvenliği arasında bir ilişki yok
Araştırmacıların parmak izi sensörleri üzerinde yaptıkları denemeler ilginç sonuçların ortaya çıkması sağladı. Ortaya çıkan ilk sonuç yüksek fiyatlı cihazlar, görece daha ucuz cihazlara göre daha fazla koruma sağlamadılar.
Araştırmacılar, Samsung’un orta seviye telefonlarından olan A70’in parmak izi okuyucusunu parmak kılıfı ile kandırmaya çalıştıklarında başarısız oldular. Ancak Samsung’un eski amiral gemilerinden olan S10’un parmak izi sensörü kılıfta bulunan parmak izi ile açıldı.
Benzer şekilde Windows 10’nun parmak izi koruması, parmak kılıfı ile açılamadı. Ancak MacBook Pro’nun TouchID’si parmak kılıfı kullanıldığında parmak izini kabul ederek açıldı. Aslına bakarsanız Apple, MacBook Pro'ların bu gibi 'sahte' parmak izleri ile açılmaması için ek önlemler uyguluyor ve parmak izi deneme sayısı 5 ile sınırlıyor. Araştırmacıların sahte parmak izi testleri genellikle 5 denemeden uzun sürdüğü için Apple'ın güvenlik önlemi gerçek bir hack girişiminde işe yarıyor. Bu araştırmada, araştırmacılar MacBook Pro’nun diğer şifrelerini bildikleri için daha fazla sayıda deneme yapabildiler.
Parmak izi okuyucuları ek önlemlerle destekleniyor
Cisco Talos’tan araştırmacılar, çalışmalarından elde ettikleri sonuçları cihaz üreticileri ile paylaştılar. Ancak cihaz üreticileri, bunların bilinen güvenlik açıkları olduğunu söyledi. Parmak izi okuyucularının güvenlik açığının farkında olan üreticiler, bu açıkları kapatmak için ek uygulamalar geliştirdiler.
Bağımsız bir siber güvenlik araştırmacısı ve danışmanı olan Lukasz Olejnik, kullanılan telefonlardaki parmak izi kilitlerinin aşılması en kolay güvenlik önlemlerinden biri olduğunu söylüyor. Olejnik, parmak izi kilidinin kullanılmasının hiçbir güvenlik önlemi almamaktan daha iyi olduğunu da sözlerine ekliyor. Olejnik, parmak izi kilidi karşısında güçlü bir şifrenin çok daha güvenli olduğunu da belirtiyor.
Araştırmacılardan Craig Williams, çoğu şirketin cihazlar için parmak izi kılıfı elde edebildiklerini söylüyor. Williams, birkaç yıl içerisinde kendilerinin kullandığına benzer 3 boyutlu yazıcıların daha yaygın ve daha iyi teknolojilerle evlerde olabileceğini, bu nedenle teknoloji üreticilerin yavaş yavaş parmak izi okuyucularından vazgeçmeleri gerektiğini söyledi.