Potrebbe essere possibile dirottare le impronte digitali in forma digitale e usarle per accedere ad altri dispositivi e posizioni?

4

Con sempre più dispositivi che accettano le impronte digitali al posto delle password, potrebbe essere possibile effettuare il "keylog" di queste impronte digitali su dispositivi mobili, ad esempio installando un'applicazione rogue e quindi riproducendo quella impronta digitale o fisica in termini di stampa 3D per accedere ad altri dispositivi o posizioni?

Una cosa che stavo pensando è cosa succede se qualcuno sviluppa un'app (legit) e chiede di usare le impronte digitali. Da lì potrebbero tecnicamente ricostruirlo e usarlo contro di te o addirittura venderlo e associarlo alla tua identità.

    
posta Jason 18.01.2017 - 02:13
fonte

4 risposte

4

Ecco una sezione pertinente del documento "Sicurezza iOS" di Apple:

The fingerprint sensor is active only when the capacitive steel ring that surrounds the Home button detects the touch of a finger, which triggers the advanced imaging array to scan the finger and send the scan to the Secure Enclave.

The raster scan is temporarily stored in encrypted memory within the Secure Enclave while being vectorized for analysis, and then it’s discarded. The analysis utilizes subdermal ridge flow angle mapping, which is a lossy process that discards minutia data that would be required to reconstruct the user’s actual fingerprint. The resulting map of nodes is stored without any identity information in an encrypted format that can only be read by the Secure Enclave, and is never sent to Apple or backed up to iCloud or iTunes.

Per me questo implica che l'impronta digitale non passi mai attraverso la memoria iOS standard, ma piuttosto direttamente nell'enclave sicura. Una volta nell'enclave protetta, viene trasformato in modo che l'impronta digitale non possa essere ricostruita. Quindi, su dispositivi Apple, questo non sembra possibile nemmeno su dispositivi jailbroken, tranne forse nel caso di un attacco all'hardware fisico.

Altri dispositivi come Android sono diversi. Credo che Google abbia linee guida di progettazione simili a quelle di Apple, ma i produttori non hanno bisogno di seguirlo esattamente. Sono abbastanza sicuro che alcuni dei primi dispositivi Android hanno semplicemente crittografato i dati di impronte digitali nella memoria standard, ma cercherò un riferimento perché potrei sbagliarmi.

Modifica:

  1. link
  2. link
risposta data 18.01.2017 - 05:19
fonte
2

Non c'è motivo per cui ciò non sia possibile, sia a livello digitale che a livello fisico. I telefoni in genere non rendono i dati delle impronte digitali disponibili per altre applicazioni, a meno che non siano un telefono jailbroken con un'app di rouge che ruba questi dati.

A livello fisico, non solo è possibile, ma è stato fatto in passato. Refer: link

    
risposta data 18.01.2017 - 04:42
fonte
1

Probabilmente sì, ma ...

a qualcuno interessa?

Possibile o no, il tuo dito viene usato come password. Entrambi, l'input di testo e il dito vengono convertiti in informazioni digitali che a un certo punto verranno convalidati in un modo o nell'altro. Molti dispositivi sono stati compromessi senza che l'hacker abbia mai avuto accesso a nessuna password. Gli hacker ottengono l'accesso al tuo sistema operativo tramite exploit che ingannano il dispositivo nel concedere loro i privilegi che non dovrebbero avere. Nessun processo di autenticazione è coinvolto.

Tecnologia e amp; modifiche ai dati

La stringa "Password123" sarà sempre trattata allo stesso modo dal tuo dispositivo. Gli scanner per impronte digitali o altri sensori biometrici, d'altro canto, probabilmente miglioreranno la loro risoluzione ed efficacia nel corso degli anni, convertendo così le impronte digitali in un insieme di dati completamente diverso. Il set di dati rosso di quel vecchio sensore non sarebbe molto utile a quel punto.

Non vedo che questo diventi un importante problema di sicurezza.

    
risposta data 18.01.2017 - 16:13
fonte
1

Non hai nemmeno bisogno di accedere direttamente alle impronte digitali; un ricercatore ha ha riprodotto l'impronta digitale di un politico basata su foto di eventi stampa . Quindi sì, assolutamente.

    
risposta data 18.01.2017 - 17:33
fonte

Leggi altre domande sui tag