Hackerin trickst Fingerabdruck-Scanner mit 3D-Druck aus
Yamila Levalle von Dreamlab Technologies hat auf der virtuellen Hacker-Konferenz Defcon gezeigt, wiei sie ein biometrisches Authentifizierungssystem ganz einfach ausgetrickst hat. Statt ihres Finger hielt sie einen 3D-gedruckten Finger, der aus einem billigen Drucker stammte, hin und die Maschine erkannte ihn als richtigen Fingerabdruck.
Es seien sehr viele Angriffsszenarien möglich, um biometrische Systeme auszutricksen, berichtet Info Security. Forscher von McAfee haben etwa gezeigt, wie sie ein Gesichtserkennungssystem so umgangen hatten, dass es aus einem Fake-Passbild eine echte Person erkannte. Die Forscherin Levalle hingegen konzentrierte sich bei ihrer Untersuchung auf Fingerabdrücke.
Sie hatte sich mit derselben Forschungsfrage beschäftigt wie die beiden McAfee-Forscher: Wie trickst man ein System aus, um aus einem gefälschten (nicht echten) biometrischen Merkmal – in ihrem Fall einen Fingerabdruck - einer Maschine ein authentisches Merkmal vorzugaukeln?
So funktionierte der Hack
Levalle erklärte, dass ein Fingerabdruckscanner nicht das ganze Muster erkennen muss, das sich in einem Abdruck befindet. Ein paar Muster und Features reichen in der Regel. Um die Fingerabdruck-Scanner auszutricksen, nahm sie einen 3D-Scanner mit UV-Granulat, der in einer Auflösung von 25 Mikronen drucken konnte. Davor fotografierte sie ihren Finger mit einer Kamera mit Makro-Qualität. Im Anschluss reicherte sie den Fingerabdruck digital mit einem Open-Source-Python-Tool an und erstellte ein 3D-Modell davon mit TinkerCAD. Das Schwierigste sei gewesen, die Länge und Breite so hinzukriegen wie das Original. Insgesamt brauchte sie etwas mehr als zehn Versuche, bis sie mit ihrer Methode erfolgreich war. „Es ist nicht einfach, den Fingerabdruck zu vervielfältigen. Man braucht Zeit und Erfahrung. Aber es kann gemacht werden“, so die Forscherin.