Já faz quase uma década desde que os sensores de impressão digital proliferaram como um mecanismo de desbloqueio rápido e fácil para smartphones e laptops. Os ataques para derrotar esses scanners existem há tanto tempo, embora impraticáveis para todos, exceto os hackers mais motivados e bem financiados. Mas novas pesquisas mostram que o equipamento necessário para falsificar impressões digitais e invadir dispositivos de forma confiável ficou muito mais barato.
Pesquisadores da Cisco Talos alcançaram uma taxa de sucesso de 80% em média, derrotando os scanners de impressões digitais em uma dúzia de dispositivos. Bastava uma impressora 3D para acionar impostores e um orçamento abaixo de US $ 2.000. Eles enfatizam que os bloqueios de impressão digital ainda fornecem proteção adequada contra ataques maliciosos para a maioria das necessidades, pois a técnica deles requer uma cópia da impressão digital e acesso físico ao dispositivo. Porém, mesmo usuários comuns ainda devem considerar possíveis solicitações de acesso à aplicação da lei ao escolher um bloqueio de dispositivo – especialmente considerando que as barreiras para quebrar as defesas de bloqueio de impressão digital são mais baixas do que nunca.
“Não é preciso uma quantia significativa de dinheiro para ignorar a autenticação baseada em impressões digitais para a maioria dos fornecedores”, diz Craig Williams, que administra o Talos. “O fato de a tecnologia de impressão 3D doméstica poder alcançar uma resolução que torna as impressões digitais menos seguras do que há dez anos atrás é preocupante, porque todos podem acessar essas impressoras. Mas ainda não é fácil, é necessário um esforço e capacidade significativos para capturar a impressão “.
Os pesquisadores testaram três cenários diferentes para capturar impressões digitais. O primeiro foi a coleta direta, onde eles tiraram um molde da impressão digital relevante do alvo. O segundo usava dados de sensores coletados de um scanner como os de passagens de fronteira, e o terceiro envolvia levantar impressões de outros objetos, como uma garrafa que o alvo segurava.
Para fazer os moldes, os pesquisadores usaram uma impressora 3D ultravioleta relativamente barata que cura a resina extrusada com luz UV. Em seguida, eles testaram vários materiais, como silicone, para produzir as impressões fictícias finais. Surpreendentemente, eles tiveram mais sucesso quando lançaram as impressões usando cola de tecido.
Para capacitar as impressões digitais para que os bloqueios dos sensores os interpretem como dedos reais, os pesquisadores projetaram os modelos como mangas pequenas que qualquer pessoa pode usar com o próprio dedo, criando essencialmente um disfarce de impressão digital.
No geral, as descobertas destacam o equilíbrio que os fabricantes de sensores de impressão digital devem encontrar entre segurança e usabilidade. Se um sensor estiver configurado para resistir fortemente a falsos positivos, provavelmente também rejeitará algumas tentativas legítimas de desbloquear o dispositivo. Em algo como um smartphone ou laptop, esse atrito pode fazer com que os usuários abandonem completamente o recurso. Um sensor muito permissivo, no entanto, poderia permitir que as crianças entrassem nos tablets de seus pais. Ou pior.
O preço de um dispositivo não parecia ser um forte indicador da robustez do sensor de impressão digital. Os pesquisadores não conseguiram enganar o smartphone A70 de médio porte da Samsung – apesar de terem encontrado uma quantidade incomum de falsos negativos -, mas podiam invadir consistentemente o carro-chefe Samsung S10. Eles não conseguiram enganar a estrutura do Windows Hello no Windows 10, mas enganaram o TouchID do MacBook Pro. Em um MacBook Pro de 2018, a equipe registrou uma taxa de sucesso de desbloqueio de 95% com uma conversão de impressão da coleção direta, uma taxa de sucesso de 93% com uma impressão feita usando dados de impressão digital de um scanner e uma taxa de sucesso de 60% com uma impressão feita de impressão digital levantada.
Os pesquisadores divulgaram suas descobertas aos fabricantes de dispositivos, mas afirmam que não veem os problemas como vulnerabilidades anteriormente desconhecidas. Em vez disso, o trabalho deles baseia-se em limitações conhecidas nos bloqueios do scanner de impressão digital e destaca a necessidade de um exame contínuo. Em 2016, por exemplo, pesquisadores da Michigan State University ajudaram o Federal Bureau of Investigation a desbloquear o Samsung Galaxy S6 de uma pessoa morta usando uma reconstrução das impressões digitais da vítima. E o acesso potencial à aplicação da lei é o principal fator a ser considerado pelo usuário comum em geral ao escolher um bloqueio de dispositivo. Nos Estados Unidos, houve precedentes legais sobre se a aplicação da lei pode forçar um suspeito a desbloquear um dispositivo com suas impressões digitais. Mas em vários casos, os juízes descobriram que podem obrigar a descriptografia. Por enquanto, os defensores da privacidade dizem que é menos provável que você seja forçado a desbloquear seu dispositivo para aplicação da lei se ele tiver uma senha e não uma trava biométrica.
