Çin ve ABD’den bir grup araştırmacı, biyometrik güvenliğe yönelik ilginç yeni bir saldırının ana hatlarını çizdi. PrintListener: Parmak Sürtünme Sesi Aracılığıyla Parmak İzi Kimlik Doğrulamasının Güvenlik Açıklarını Ortaya Çıkarma [PDF] Gelişmiş Otomatik Parmak İzi Tanımlama Sistemine bir yan kanal saldırısı önermektedir (AFIS). Saldırı, parmak izi deseni özelliklerini çıkarmak için kullanıcının parmağını dokunmatik ekran üzerinde kaydırmasının ses özelliklerinden yararlanıyor. Testlerin ardından araştırmacılar, en yüksek güvenlikli FAR’da beş denemede kısmi parmak izlerinin %27,9’una ve tam parmak izlerinin %9,3’üne kadar başarıyla saldırabileceklerini ileri sürüyorlar. [False Acceptance Rate] %0,01 ayarı.” Bunun, parmak izi bilgisini çıkarmak için kaydırma seslerinden yararlanan ilk çalışma olduğu iddia ediliyor.
Biyometrik parmak izi güvenliği yaygındır ve geniş çapta güvenilirdir. İşler böyle devam ederse parmak izi kimlik doğrulama pazarının 2032 yılına kadar yaklaşık 100 milyar dolar değerinde olacağı düşünülüyor. Ancak kuruluşlar ve kişiler, saldırganların parmak izlerini çalmak isteyebileceklerinin giderek daha fazla farkına varmaya başladı ve bu nedenle bazıları dikkatli olmaya başladı. parmak izlerini gözden uzak tutuyorlar ve el detaylarını gösteren fotoğraflara duyarlı oluyorlar.
Bir saldırgan, temas izleri veya parmak detayı fotoğrafları olmadan, kullanıcının parmak izleri üzerindeki MasterPrint ve DeepMasterPrint sözlüğü saldırı sonuçlarını geliştirmek için herhangi bir parmak izi verisi almayı nasıl umut edebilir? Cevaplardan biri şu: PrintListener makalesi “parmak kaydırmalı sürtünme seslerinin çevrimiçi saldırganlar tarafından yüksek olasılıkla yakalanabileceğini” söylüyor. Parmak kaydırma seslerinin kaynağı Discord, Skype, WeChat, FaceTime vb. popüler uygulamalar olabilir. Cihaz mikrofonu canlıyken kullanıcıların dikkatsizce ekranda kaydırma eylemleri gerçekleştirdiği herhangi bir sohbet uygulaması. Bu nedenle yan kanal saldırısının adı PrintListener’dır.
PrintListener’ın iç işleyişinin arkasında bazı karmaşık bilimler var, ancak yukarıdakileri okuduysanız, araştırmacıların AFIS saldırılarını iyileştirmek için ne yaptıkları hakkında zaten iyi bir fikre sahip olacaksınız. Ancak PrintListener’ı bugünkü konumuna getirmek için üç büyük zorluğun üstesinden gelindi:
- Parmak sürtünmesinin zayıf sesleri: Spektral analize dayalı bir sürtünme sesi olayı lokalizasyon algoritması geliştirildi.
- Parmak deseninin ses üzerindeki etkilerini kullanıcının fizyolojik ve davranışsal özelliklerinden ayırmak. Bu sorunu çözmek için araştırmacılar hem minimum artıklık maksimum alaka düzeyini (mRMR) hem de uyarlanabilir bir ağırlıklandırma stratejisini kullandılar.
- Bu özellikler arasındaki karşılıklı ilişkilerin istatistiksel analizini kullanarak birincil parmak izi özelliklerinin çıkarılmasından ikincil parmak izi özelliklerine ilerlemek ve sezgisel bir arama algoritması tasarlamak
Teoriyi kanıtlamak için bilim adamları saldırı araştırmalarını PrintListener olarak pratik olarak geliştirdiler. Kısaca PrintListener, ham ses sinyallerini ön işlemek için bir dizi algoritma kullanır ve bunlar daha sonra PatternMasterPrint (belirli bir desene sahip parmak izleri tarafından oluşturulan MasterPrint) için hedeflenen sentetikler üretmek için kullanılır.
Daha da önemlisi, PrintListener “gerçek dünya senaryolarında” kapsamlı deneyler gerçekleştirdi ve giriş bölümünde de belirtildiği gibi, dört vakadan birinden daha iyi bir oranda başarılı kısmi parmak izi saldırılarını kolaylaştırabilir ve neredeyse on vakadan birinde tam parmak izi saldırılarını gerçekleştirebilir. Bu sonuçlar, yardımsız MasterPrint parmak izi sözlüğü saldırılarının çok ötesindedir.