Исследователи выдумали, как красть отпечатки пальцев по звукам свайпов на телефоне

Группа американских и китайских учёных разработала методику PrintListener, которая позволяет реставрировать набросок папиллярных линий, составляющий след людского пальца, средством анализа звука, который он производит при свайпе, другими словами скользящем движении по сенсорному экрану.

Разработка защиты систем с помощью отпечатков пальцев нынче обширно всераспространена и пользуется огромным доверием — если она продолжит расти с теперешними темпами, то к 2032 году рынок решений в области аутентификации по отпечаткам пальцев достигнет практически $100 миллиардов. При всем этом вырастает понимание, что злоумышленники могут осуществлять пробы кражи отпечатков пальцев, и люди всё пореже демонстрируют руки на фото.

Как выяснилось, источником утечки данных может стать звук скользящего движения пальца по сенсорному монитору. По итогам испытаний исследователи достигнули фуррора с внедрением «до 27,9 % частичных и 9,3 % полных отпечатков пальцев с 5 попыток при настройках безопасности AR [False Acceptance Rate] в 0,01 %».

Для проведения атаки схожим образом гипотетичному злодею нужно получить доступ ко включённому на мобильном устройстве микрофону, а жертве — в обычном режиме поработать с пользующимися популярностью приложениями вроде Discord, Skype, WeChat и FaceTime, где используются свайпы. Творцам исследования пришлось побороть несколько сложностей: делему слабенького звука при трении пальца о сенсорный экран решили с помощью способов спектрального анализа; учли физиологические и поведенческие особенности юзера; применили статистический разбор и разработали эвристический поисковый метод.

С помощью технологии звукового анализа PrintListener исследователи вернули синтетические отпечатки PatternMasterPrint, и «в близких к реальности сценариях» эта методика посодействовала эффективно вернуть частичные отпечатки пальцев больше чем в одном из четырёх случаев, а полные — практически в одном из 10. Итоги оказались выше, чем атака MasterPrint, предлагающая случайный перебор «универсальных» отпечатков.