Boa parte dos smartphones do mercado conta com sensor de digital para desbloquear o aparelho ou validar operações, como um substituto de uma senha. Apesar de prometerem segurança, os pesquisadores da Cisco Talos conseguiram burlar esses sensores, presentes em smartphones e laptops, em 80% das vezes, com dedos falsos feitos em impressora 3D.
Apesar do resultado impressionante, vale ressaltar que por mais que eles tenham conseguido esse objetivo, os sensores de impressão digital funcionam bem para a maioria das pessoas. A ideia da empresa foi tentar sinalizar que não houve grande evolução neste ramo e que usuários com informações sensíveis não devem confiar só nestes sensores, tanto no computador como no celular.
De modo geral, para o teste a companhia utilizou smartphones de diversas marcas, como Apple, Samsung e Huawei, além de laptops com Windows (Lenovo Yoga e HP Pavilion x360) e um MacBook Pro 2018. Também entraram no experimento dispositivos USB de autenticação por digital, mas a taxa de sucesso neles foi de 0%, e um padlock (cadeado inteligente).
Com exceção da Apple, todos os sensores são produzidos por terceiros e incorporados ao aparelho. O processo de leitura às vezes é feito por um firmware do próprio sensor ou, em alguns casos, como o Windows Hello, é feito pelo sistema operacional.
O estudo também dá vários detalhes sobre o funcionamento de sensores de impressão digital. Atualmente, existem três modelos distintos: capacitivo (usam a capacitância do corpo para ler as digitais), óptico (usam uma fonte de luz para obter detalhes da digital) e ultrassônico, presente em sensores sob a tela do smartphone, gerando eco que é lido pelo sensor para captar detalhes do dedo.
Método e resultados do teste
Foram feitos ao todo 20 tentativas em cada um dos dispositivos. Delas, 17 foram de sucesso. Alguns produtos chegaram a ter taxa de 100% — ou seja, em todas as tentativas com dedos falsos, os pesquisadores conseguiram burlar a segurança dos aparelhos.
Os produtos com maior suscetibilidade a serem acessados com dedos falsos foram o padlock, o Huawei Honor 7x e o Galaxy Note 9, que tiveram taxa de acesso de 100%. Na sequência ficaram o iPhone 8, MacBook Pro 2018 e Galaxy S10, com uma taxa de sucesso de 90%. Cinco laptops com Windows 10 testados tiveram 0% de sucesso, além de um smartphone Galaxy A70.
Segundo a Cisco Talos, as máquinas com o sistema operacional da Microsoft contavam com um algoritmo de comparação de impressão digital, o que impedia o dedo falso de se passar por um verdadeiro. No entanto, eles dizem que se tivessem mais recursos, muito provavelmente conseguiriam burlar a segurança. Quanto ao Galaxy A70, os pesquisadores falaram que o recurso não funcionou direito nem com uma impressão digital real.
Cada linha representa o método de obtenção da digital para a criação do molde. A laranja diz respeito à coleta direta (pegando o dedo da pessoa); a azul usando um sensor de imagem (pense naqueles sensores presentes em caixas eletrônicos de banco), enquanto as amarelas foram obtidas por terceiros (como uma digital deixada em um copo de vidro). Crédito: Cisco Talos
Apesar das altas taxas de sucesso, a empresa de segurança ressalta que este foi um teste que levou meses e exigiu a criação de 50 moldes de impressões digitais. Em uma situação real, um agente mal-intencionado teria de ter acesso físico ao aparelho e ainda contar com uma imagem muito boa da impressão digital da vítima, portanto não é algo que qualquer um pode fazer.
“Nossos resultados mostram que a tecnologia de impressão digital não evoluiu muito. Pense sobre o sistema de segurança da sua casa. Se você quiser impedir que agências de inteligência não espiem sua casa, não funcionará. Mas se você quiser impedir crimes simples, é bom o suficiente”, diz o estudo da Talos Security. “Para usuários convencionais, as vantagens da autenticação por digital são óbvias, e o recurso deve ser utilizado. No entanto, pessoas com informações sensíveis devem contar com senhas fortes e tokens para autenticação em dois fatores.”
Se você se interessa pelo assunto, a Cisco Talos fez um blog post (em inglês) gigante explicando toda a metodologia, o processo de obtenção de digitais e até detalhes da criação dos moldes.