بررسی 5 روش هک اسکنر اثر انگشت و نحوه جلوگیری از آن‌ها

دور زدن اسکنر اثر انگشت با وجود سخت بودن، کار دشواری نیست. در این مطلب با 5 روش فریب دادن و هک اسکنر اثر انگشت و همچنین روش‌های جلوگیری از آن‌ها آشنا خواهیم شد.

استفاده از اسکنر اثر انگشت، از چند دهه پیش راهکاری متفاوت به منظور احراز هویت در انواع سازمان‌ها و سیستم‌ها همچون سیستم‌های بانکی بوده است. همانند دیگر راهکارهای امنیتی، این روش نیز هرگز حریم خصوصی را به صورت 100 درصدی فراهم نکرده است. افزایش شدید استفاده از اسکنر اثر انگشت در گجت‌های شخصی همچون گوشی های هوشمند طی سال‌های اخیر، سبب شده هکرها، به ابداع روش‌های جدیدی برای هک اسکنر اثر انگشت روی بیاورند.

1- هک اسکنر اثر انگشت به وسیله شاه کلید!

همانند قفل‌های عادی، که با استفاده از مستر کی (شاه کلید) می‌توان آن‌ها را باز کرد، برای اسکنرهای اثر انگشت نیز چیزی مشابه تحت عنوان مسترپرینت وجود دارد. مسترپرینت را می‌توان یک اثر انگشت سفارشی دانست که حاوی تمامی خطوط و ساختارهای استاندارد روی اثر انگشت یک انسان واقعی است.

مجددا همانند قفل‌های عادی، بسته به نوع اسکنر ممکن است امکان استفاده از مسترپرینت به منظور دور زدن اسکنر اثر انگشت وجود نداشته باشد. اسکنرهای به کار رفته در سیستم‌های بانکی ساختار پیچیده‌تری دارند، اما ماژول‌های قرار گرفته در گوشی های هوشمند اغلب فاقد این پیچیدگی بوده و به همین دلیل احتمال فریب خوردن آن‌ها از طریق یک شاه کلید بالا است. به همین دلیل هکرها، برای دور زدن اسکنر اثر انگشت گوشی های هوشمند اغلب از مسترپرینت بهره می‌برند.

جلوگیری از هک شدن با مسترپرینت

درباره گوشی های هوشمند، کار زیادی از دست شما ساخته نیست، به همین دلیل اگر به حفظ حریم خصوصی خود اهمین زیادی می‌دهید، بهتر است به دیگر روش‌های تامین امنیت همچون استفاده از پسوردهای متنی پیچیده روی بیاورید.

بهترین راه برای جلوگیری از هک اسکنر اثر انگشت به وسیله مسترپرینت، تحقیق درباره اسکنری است که در پی خرید آن هستید. برخی اسکنرها به صورت عمقی اثر انگشت را آنالیز نکرده و به همین دلیل زمینه سواستفاده را برای هکرها فراهم می‌کنند. روی سنسورهای امنیتی، چیزی تحت عنوان False Acceptance Rate یا FAR درج می‌شود. همچنین می‌توانید از طریق بررسی در گوگل، به عدد مربوط به این فاکتور برای یک اسکنر مشخص دست پیدا کنید. منظور از FAR، احتمال گول خوردن یک سیستم امنیتی بیومتریک برای قبول کردن درخواست ورود فردی فاقد شرایط احراز هویت است. هر چه این میزان، که به صورت درصد بیان می‌شود، پایین‌تر باشد، اسکنر اثر انگشت از نظر امنیتی وضعیت بهتری داشته و با احتمال بالاتری، مسترپرینت‌ها را پس می‌زند.

2- شخم زدن تصاویر غیر ایمن ذخیره شده روی حافظه

اگر هکر، تصویری از اثر انگشت شما داشته باشد، اصلی‌ترین کلید دور زدن اسکنرها به وسیله جا زدن خود به جای شما را در اختیار دارد. کاربران می‌توانند پسوردهای عددی را در حساب‌های کاربری خود تغییر بدهند، اما اثر انگشت هرگز قابل تغییر نیست. این دوام، همواره یکی از دلایل علاقه هکرها برای دست پیدا کردن به اسکنر اثر انگشت طعمه‌ها بوده است.

هک اسکنر اثر انگشت گوشی های هوشمند به این روش، در برخی مواقع مثل آب خوردن صورت می‌گیرد. به عنوان نمونه می‌توان به اتفاقی که اخیرا برای پرچمدار سامسونگ رخ داده اشاره کرد. بر اساس ویدیوی کامل و واضحی که چندی پیش منتشر شد، اسکنر اثر انگشت گلکسی اس 10 با یک اثر انگشت شبیه‌سازی شده فریب خورد! این هکر، پرینت سه بعدی اثر انگشت را از طریق تصویری که پیشتر از آن روی یک شیشه به جا مانده بود، ایجاد کرد.

البته، اگر فرد بانفوذ و سرشناسی نبوده و داشتن عکس اثر انگشت شما، به معنی دستیابی به مخزنی انبوه از اسناد مهم یا کوهی از طلا نباشد، کمتری هکری خود را برای گرفتن عکسی از انگشتان شما به دردسر خواهد انداخت!

یک اسکنر به منظور تشخیص شما، نیازمند یک تصویر پایه از اثر انگشتتان است. در جریان تنظیم اولیه اسکنر، اثر انگشت را به آن نمایش داده و اسکنر، تصویر آن را در حافظه‌اش ذخیره می‌کند. از این به بعد، در هر مرتبه تلاش برای احراز هویت، حافظه اسکنر که احتمالا حاوی تعداد بسیار زیادی عکس از اثر انگشت‌های افراد مختلف است، مورد بررسی قرار می‌گیرد. در صورت یکسان بودن اثر انگشت کنونی با یکی از طرح‌ها، مجوز ورود به سیستم داده خواهد شد.

متاسفانه در برخی دستگاه‌ها، تصویر بدون رمزنگاری روی حافظه ذخیره می‌شود! به این ترتیب هکر با دسترسی به دستگاه، عملا قادر به دور زدن اسکنر اثر انگشت خواهد بود.

جلوگیری از هک شدن به وسیله تصویر اثر انگشت

مجددا در اینجا نیز به منظور جلوگیری از هک اسکنر اثر انگشت باید میزان امنیت دستگاه را مد نظر بگیرید. ابتدایی‌ترین ویژگی اسکنر باید رمزنگاری تصاویر اثر انگشت‌های ارائه شده به آن باشد. هر چه الگوریتم رمزنگاری پیچیده‌تر باشد، احتمال دست پیدا کردن به تصاویر اصلی در صورت در اختیار داشتن حافظه، کاهش پیدا می‌کند.

بعد از اطمینان از نحوه ذخیره‌سازی تصاویر اثر انگشت‌ها در حافظه اسکنر، باید همواره از اثر انگشت خود محافظت کنید. در صورتی که اثر انگشتتان روی سطوح قابل رویت همچون شیشه یا نمایشگر گوشی باقی مانده است، آن را پاک کنید.

3- استفاده از اثر انگشت جعلی

اگر برای هکر، امکان دسترسی به تصویر به صورت واضح به منظور دور زدن اسکنر اثر انگشت وجود نداشته باشد، قدم بعدی، ایجاد یک اثر انگشت جعلی است. هکرها، معمولا برای دست پیدا کردن به ساختار اثر انگشت یک فرد عادی به منظور وارد شدن به گوشی هوشمند وی، در خیابان وی را تعقیب نمی‌کنند! اما توجه روی عدم قرار دادن اثر انگشت خود روی هر سطحی، بیشتر برای مدیران دارای دسترسی به سطوح بالای سیستم‌های مختلفی اهمیت پیدا می‌کند.

بر اساس گزارش روزنامه گاردین، چند سال پیش یک هکر توانسته بود اثر انگشت وزیر دفاع آلمان را شبیه‌سازی کند! در اختیار داشتن اثر انگشت فردی در این مقام، به معنی داشتن توان پرتاب هزاران موشک خواهد بود! پس تلاش برای جلوگیری از هک اسکنر اثر انگشت شما به این وسیله، به موقعیت کاری و اجتماعی‌تان بستگی دارد.

روش‌های مختلفی برای ایجاد یک اثر انگشت به وسیله تصویر آن وجود دارد. پیشتر، آن را روی کاغذ یا چوب پیاده می‌کردند، اما امروز، سریع‌ترین، دقیق‌ترین و بهترین روش، خوراندن تصویر اثر انگشت به یک پرینتر سه بعدی و دریافت نسخه جعلی آن در قالب ماده‌ای پلاستیکی است. در هک اخیر اسکنر اثر انگشت سامسونگ گلکسی اس 10 از همین روش استفاده شده بود.

جلوگیری از ایجاد نسخه جعلی اثر انگشت شما

متاسفانه به صورت مستقیم، امکان جلوگیری از این روش حمله وجود ندارد. اگر هکر، به هر روش همچون گرفتن عکس اثر انگشت شما از طریق دستیابی به حافظه اسکنر یا ثبت عکسی از آن به صورت مستقیم، ساختارش را در اختیار داشته باشد، برای جلوگیری از ساخت نسخه تقلبی آن توسط وی، کاری از دست شما ساخته نیست. متاسفانه برخلاف پسوردهای عددی، در اینجا نمی‌توانیم شما را به عوض کردن اثر انگشت خود دعوت کنیم!

نخستین قدم برای جلوگیری از هک اسکنر اثر انگشت به این روش، جلوگیری از دست پیدا کردن دیگران به الگوی انگشتان خود است. البته شما را به پوشیدن همیشگی دستکش تشویق نمی‌کنیم، اما مجددا بسته به موقعیت کاری و اجتماعی خود، باید از محل‌های عمومی که انگشتتان را روی آن‌ها قرار می‌دهید مطلع باشد. فردی که می‌داند بقیه افراد، از وجود میلیون‌ها دلار پول در گاو صندوق محافظت شده وی باخبر هستند، نباید ردی از اثر انگشتش در هر مکانی به جا بگذارد!

4- بهره بردن از آسیب‌پذیری‌های نرم افزاری برای هک اسکنر اثر انگشت

برخی از نرم افزارهای مدیریت پسورد، از اثر انگشت برای احراز هویت کاربر استفاده می‌کنند. اگرچه این روشی مناسب برای محافظت از تمامی پسوردهای عددی و متنی ذخیره شده در این نوع برنامه‌ها است، اما در امان بودن رمزهای عبور شما به کارایی نرم افزار مدیریت پسورد بستگی دارد. اگر در این اپلیکیشن، راهکارهایی امنیتی مناسب برای جلوگیری از هک شدن در نظر گرفته نشده باشد، فرد نفوذگر قادر به هک اسکنر اثر انگشت و دسترسی به تمامی پسوردهای شما خواهد بود.

این مشکل را می‌توان شبیه به سیستم امنیتی یک فرودگاه دانست. ممکن است در گیت اصلی، سنسورهای تشخیص‌دهنده فلز، دوربین‌های مدار بسته و محافظان زیادی قرار گرفته باشند. با این حال، در صورت وجود یک بک دور، که مدیران فرودگاه از وجودش بی‌خبرند، مسافر مطلع از آن بک دور می‌تواند بدون ترس از چک شدن، هر محموله‌ای که دوست دارد همراه خود به داخل هواپیما ببرد!

چندی پیش وب سایت Gizmodo گزارشی درباره وجود باگ در دستگاه‌های لنوو نوشت که هک اسکنر اثر انگشت از طریق آن امکان‌پذیر می‌شد. در این دستگاه‌ها، یک اپلیکیشن مدیریت پسورد محافظت شده از طریق اثر انگشت با یک پسورد متنی رمزنگاری نشده درونش، وجود داشت. هکر برای دسترسی به برنامه مدیریت پسورد، می‌توانست به سادگی استفاده از اسکنر اثر انگشت را کنار گذاشته و از پسورد متنی دستگاه استفاده کند.

جلوگیری از هک شدن با بهره‌برداری از مشکلات نرم افزاری

نخستین روش، خریدن دستگاه‌های شناخته شده و ایمن است. البته لنوو، در دنیای لپ تاپ‌ها پرفروش‌ترین است، اما حتی دستگاه‌های شرکت‌های بزرگ نیز گهگاه دچار مشکلات امنیتی می‌شوند. همچنین پیش از دانلود یک نرم افزار مدیریت پسورد روی گوشی هوشمند یا سیستم کامپیوتری خود، کمی در اینترنت تحقیق کرده و برنامه‌های محبوب، که اغلب از الگوریتم‌هایی پیچیده به منظور رمزنگاری استفاده می‌کنند، را برگزینید.

5- هک اسکنر از طریق اثر انگشت باقی مانده روی سطح

در برخی مواقع، هکر می‌تواند خیلی ساده به اثر انگشت شما دست پیدا کند. به عنوان نمونه فرد نفوذگر می‌تواند از اثر انگشت پیشین به جا مانده روی اسکنر برای احراز هویت مجدد استفاده کند. حین استفاده از هر شیئی که با دست نگه می‌دارید، اثر انگشتتان را روی آن به جا خواهید گذاشت و اسکنر اثر انگشت، که به صورت عمدی انگشتتان را روی آن فشار می‌دهید نیز استثنا نیست! این نوع هک را می‌توان به فراموشی و رها کردن کلید روی در خانه تشبیه کرد. فرد سارق بلافاصله بعد از شما کلید را برداشته و نسخه‌ای از روی آن می‌سازد!

اگر هکر حرفه‌ای باشد، نیازی به استفاده از تصویر اثر انگشت، ایجاد نسخه‌ای جعلی از آن و بازگشت به سوی دستگاه نخواهد داشت. گوشی های هوشمند، از طریق متصاعد کردن نور به انگشت و بررسی نحوه بازگشت نور به اسکنر آن‌ها، کاربر را احراز هویت می‌کنند. هکرهای حرفه‌ای، با استفاده از همان اثر انگشت به جا مانده روی اسکنر می‌توانند آن را دور بزنند. به عنوان نمونه می‌توان با قرار دادن یک سطح بازتاب‌کننده مات، از اثر انگشت به جا مانده برای احراز هویت مجدد روی همان اسکنر، استفاده کرد.

جلوگیری از سواستفاده از اثر انگشت باقی مانده روی سطوح

به این منظور کافی است بعد از قرار دادن انگشت روی اسکنر، آن را تمیز کنید. تنها با یک مرتبه کشیدن انگشت روی اسکنر، کار را برای هکر دشوار و تقریبا غیر ممکن خواهید کرد. بسته به این که جنس بدنه و مخصوصا گوشی هوشمند شما چه چیزی است، ممکن است اثر انگشتتان در سرتاسر آن به طور واضح و قابل کپی‌برداری وجود داشته باشد.