14:19
5/8/2016

Badacze z Michigan State University (MSU) pracujący na zlecenie policji oszukali czytnik linii papilarnych w Samsungu Galaxy S6, dzięki wydrukowaniu “fałszywego palca” właściciela. Już wcześniej donoszono o odblokowywaniu smartfonów na podstawie zdjęć, ale chyba po raz pierwszy zrobiono coś takiego na zlecenie policji.

Czytelnicy Niebezpiecznika dobrze wiedzą, że są różne sposoby na obejście czytnika linii papilarnych. Czasem wystarczy zwykła drukarka i klej do drewna. W roku 2014 Jan Krissler w czasie konferencji Chaos Communication Congress (31C3) zaprezentował jak odtworzyć odcisk palca niemieckiej minister obrony Ursuli von der Leyen. Posłużyły do tego zdjęcia zrobione zwykłymi aparatami cyfrowymi.

Odtworzyli odcisk z wydruku i odblokowali Samsunga

Samsunga Galaxy S6, którego czytnik oszukano fałszywym palcem, należał do ofiary pewnego morderstwa. Policjanci sądzili, że telefon mógł zawierać informacje istotne dla śledztwa i chcieli go odblokować. Policja dysponowała atramentowymi odciskami palców pobranymi od zamordowanego za życia (najwyraźniej ta osoba miała jakiś konflikt z prawem), które przekazała ekipie badaczy pod kierunkiem Anila Jaina.

2016-07-27-fingerprint-jain-team_jpg__5600×3733_

Ci najpierw wydrukowali płaskie i trójwymiarowe repliki tych odcisków, ale przy ich pomocy nie udało się odblokować telefonu. Trzeba było jakoś podnieść “jakość” odcisków dostarczonych przez policję. W tym celu badacze stworzyli specjalne oprogramowanie, które wyrównało poszarpane krawędzie i wgłębienia, zachowując istotne elementy odcisku. Następnie wydrukowano dwuwymiarowe wersje odcisków za pomocą tuszu przewodzącego prąd. Dopiero te zabiegi pozwoliły odblokować telefon.

Badacze przyznali, że obejście blokady nie udałoby się, gdyby telefon wymagał podania hasła po określonej liczbie nieudanych prób odblokowania przyciskiem (tak domyślnie działa iPhone, co ma znaczenie, bo nie zawsze wiadomo, który palec np. nieprzytomnej osoby odblokowuje telefon).

Byłoby bardzo ciekawie, gdyby ktoś w przyszłości połączył metodę Jana Krisslera z tym, co zrobili badacze z Michigan. Czy udałoby się odblokować iPhona mając tylko zwykłe zdjęcia zamordowanego? Teoretycznie możliwe, a praktycznie?

Biometria vs hasła

Jak już wspominaliśmy, samo obchodzenie czytników linii papilarnych nie jest nowością. W roku 2014 wspominaliśmy o obchodzeniu czytnika w Samsungu Galaxy S5. Jeszcze ciekawiej było ze smartfonem LG, w którym obejście czytnika było możliwe dzięki funkcji oprogramowania.

Biometria sama w sobie nie jest złym pomysłem, ale — jak wynika z naszej analizy moduły TouchID w iPhone — nie powinna być ona powodem porzucania zabezpieczeń hasłami. Hasła mają tę przewagę nad biometrią, że można je zmienić i trudniej jest zmusić człowieka do ich wydania. Ba! Prawo może nawet chronić osobę podejrzaną przed koniecznością zeznawania przeciwko sobie (a więc także przed wydaniem haseł). Podobna ochrona przed wydawaniem danych biometrycznych nie istnieje. Niektórzy obrońcy prywatności już przekonują, że prawo powinno analogicznie chronić przed zmuszaniem do autoryzacji biometrycznej.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

29 komentarzy

Dodaj komentarz
  1. Pamiętacie “Demolition Man”? W życiu nie dam swojej biometrii do odblokowywania czegokolwiek. Jeszcze mi oczy i ręce miłe… ;)

  2. Pogromcy mitów udowodnili to samo wcześniej.

    • Tak,ale policja zrobiła to po raz pierwszy, przynajmniej oficjalnie.

    • Tak, ale wtedy odcisk palca mógł być jeszcze suchy. “Następnie wydrukowano dwuwymiarowe wersje odcisków za pomocą tuszu przewodzącego prąd.” Jest pewna różnica, nespa?

  3. “Hasła mają tę przewagę nad biometrią, że można je zmienić i trudniej jest zmusić człowieka do ich wydania. Ba! Prawo może nawet chronić osobę podejrzaną przed koniecznością zeznawania przeciwko sobie (a więc także przed wydaniem haseł).”

    Moze i tak ale nie wiem w ktorym kraju:

    http://www.theregister.co.uk/2016/08/04/londoner_jailed_3_months_refusal_unlock_mobile_phones_police/

    A ogolnie to prawo np w UK przewiduje do 2 lat za nie podanie hasla.

    • Własnego kraju nie znasz? Z KPK: “Art. 74. § 1. Oskarżony nie ma obowiązku dowodzenia swej niewinności ani obowiązku dostarczania dowodów na swoją niekorzyść.”

    • A dodatkowo gdy nie jesteś oskarżonym, ale np. rodziną: “Art. 183. § 1. Świadek może uchylić się od odpowiedzi na pytanie, jeżeli udzielenie odpowiedzi mogłoby narazić jego lub osobę dla niego najbliższą na odpowiedzialność za przestępstwo lub przestępstwo skarbowe.”

    • Chyba w Polsce na przykład.

    • Paragrafy paragrafami, ale aż prosi się o taki komentarz:
      https://xkcd.com/538/

    • dokladnie tak jak piszecie. w pl nie ma (jeszcze?) obowiazku ujawniania kluczy. w uk za nie ujawnienie klucza do 2 lat. w stanach tez jak dobrze pamietam jest obowiazek ujawnienia i kara wiezienia.

  4. W androidzie 6.0.1 (przynajmniej na Samsungu Galaxy S6) trzeba już po uruchomieniu telefonu oprócz przyłożenia palca podać hasło / narysować symbol. Nie da się ustawić odblokowania po uruchomieniu tylko za pomocą odcisku (ale da się ustawić całkowity brak zabezpieczeń, nieco dziwne).

    • Rozwiązanie zakłada, że właściciel obciętego palca już nie narysuje.

  5. S6 edge po uruchomieniu nie zezwala na odblolowanie paluchem. Nawet po restarcie musi byc haslo wprowadzone. Podobnie jak kilkukrotne bledne podanie powoduje oczekiwanie x czasu.

    • S5 po aktualizacji do 6.0 również prosi o hasło po włączeniu …

  6. IMO najlepiej w wypadku telefonów stosować biometrię *I* hasła. Dlaczego? Dwuskładnikowe uwierzytelnianie. Coś co wiesz (hasło) i coś co masz (palec). Wtedy nawet jak ci palec utną to się nie dostaną bo muszą jeszcze znać hasło. Dodatkowo jeszcze “wpadkowe hasło” które po wpisaniu powoduje skasowanie wszystkich danych i super.

    Trochę paranoiczne, ale IMO bardzo skuteczne.

    • @SuperTux: A jak odcinali palce aby uzyskać hasło?
      >:]

    • Jak mi ktoś będzie ucinał palec, to będę miał głęboko w dupie zawartość telefonu.

  7. od dziś odciski palców nie są już niepodważalnym dowodem…

    • I to jest właściwy komentarz. Jeżeli można “wydrukować” odciski palców to można je też zostawić na miejscu zbrodni aby kogoś wrobić…

  8. *SuperTux”
    Pewnie wszystko zależy od okoliczności.
    “… jak ci palec utną to się nie dostaną bo jeszcze muszą znać hasło…”. No właśnie : i jeśli go szybko nie poznają, to “polecą” następne palce. A potem nie wiadomo co jeszcze…
    To taki filmowy scenariusz – żeby nie było , że się czepiam.
    Pozdr.

  9. Ogólnie to się nie znam, ale się zapytam, to może będę wiedział więcej. A gdyby tak wprowadzić system, w którym trzeba zeskanować kilka palców w odpowiedniej kolejności? Coś jak obecnie czterocyfrowy pin, tradycyjne cyfry zamienić na kolejne palce i mamy chyba odpowiednio utrudnioną sprawę?

  10. takie coś mi się przypomniało https://www.youtube.com/watch?v=WaH5o6ZHhyY

  11. Ciekawe kiedy wykorzystają ten motyw w Kryminalnych Zagadkach NY :D

  12. Na fotce pan z lewej trzyma atrapę palucha, jaki problem wydrukować coś takiego na drukarce 3D i użyć aby kogoś wrobić w przestępstwo czy podrobić “podpis” ?
    Zdobyć taki odcisk(i) z “obiektu” nie jest chyba trudno, wystarczy za nim chodzić, obserwować czy wręcz podsuwać materiały na których sam je złoży…

    • Drukarki 3D nie mają i jeszcze przez jakiś czas nie będą miały (poza modelami za setki tysięcy $) odpowiedniej rozdzielczości.

  13. “Policja dysponowała atramentowymi odciskami palców pobranymi od zamordowanego za życia (najwyraźniej ta osoba miała jakiś konflikt z prawem)”

    Bez przesady z tym konfliktem, nie każdy kto wyjeżdża do Stanów musi być przestępcą ;) A każdy pracujący w jakiejkolwiek firmie związanej z rządem federalnym bądź stanowym musi oddać odciski palców, i tak jest już od lat. W USA pewnie tylko drobne złodziejaszki, które nigdzie nie pracowały i nie wpadły przy kradzieży batona, nie mają pobranych odcisków.

  14. Można odblokować to i można “zostawić” odpowiednie odciski w odpowiednim miejscu i odpowiednim czasie. I co nam Pan zrobisz?

  15. Moj kumpel ma na tyle podobny odcisk palca do mojego, ze jest w stanie odblokowac mojego S6 XD

  16. […] użycie drukarki 3D do oszukania biometrii nie jest bardzo nowatorskie. Badacze z Michigan State University (MSU) pracujący na zlecenie policji już to […]

Odpowiadasz na komentarz Saiko

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: