Steder hvor man kan anvende fingeraftryk på sin mobil

Et fabrikeret fingeraftryk kan i teorien give adgang til din smartphone og derfra din e-Boks, online bank og samtlige de andre apps, der anvender fingeraftryk til at verificere din identitet.

Det påstår en gruppe forskere fra New York University og Michigan State University, som mandag fremlagde en delrapport om deres resultater.

»Vores indledende resultater antyder, at det faktisk er muligt at lokalisere eller konstruere partielle fingeraftryk, som kan anvendes til at udgive sig for et stort antal brugere«, skriver forskerne i deres konklusion.

»Vi afslører en potentiel sårbarhed i systemer, der benytter udvalgte dele af fingeraftryk til identifikation, særligt når de anvender flere aftryk fra hver finger«.

I realiteten vil opdagelsen dog næppe kunne bruges af kriminelle til eksempelvis at overføre penge til dem selv via MobilePay eller undersøge private folks e-Boks, vurderer Peter Kruse fra sikkerhedsfirmaet CSIS.

Men der er adskillige andre måder, de falske aftryk kan misbruges på, tilføjer han.

»En ondsindet app, som installeres på mobilen, vil potentielt kunne give sig selv udvidede tilladelser og dermed opnå adgang til data i andre apps og returnere informationerne tilbage til den kriminelle. Det vil eksempelvis kunne anvendes til identitetstyveri«, siger Peter Kruse.

De falske fingeraftryk kan måske også bruges til at opnå adgang til bygninger, som anvender fingeraftryk som adgangskontrol.

Mangler en magisk handske

Et komplet fingeraftryk er meget vanskeligt at efterligne. Men på en smartphone er skanneren så lille, at den udelukkende læser et mindre udsnit af fingeraftrykket. Normalt skal brugeren afgive otte, ti eller sågar flere udsnit af hver finger, når fingeraftryksgodkendelsen aktiveres.

Med et så begrænset udsnit kan menneskers fingeraftryk hurtigt komme til at ligne hinanden. Og både iPhone og Googles Android er indrettet således, at hvis det falske fingeraftryk matcher blot et enkelt af de afgivne udsnit, så bliver man godkendt.

Forskerne har designet en serie kunstige udsnit med karaktertræk, som er almindelige for mange menneskers fingeraftryk - såkaldte masteraftryk. De kunstige masteraftryk snød systemet i 65 procent af forsøgene - næsten to ud af tre gange.

Men det var i computersimulationer.

Mobilproducenterne har ikke givet forskerne mulighed for at afprøve det på ægte mobiltelefoner, forklarer Aditi Roy, rapportens hovedforfatter til New York Times.

MobilePay lancerer nyt våben i betalingskrigen

Ifølge Nasir Memon, professor ved New York University og ligeledes en af forskerne bag forsøget, ville man kunne trænge ind i op mod halvdelen af de iPhones, der bruger Touch ID, hvis man på en eller anden måde kunne fremstille en 'magisk handske' med de masteraftryk, forskerne har udarbejdet.

I praksis er risikoen dog ikke større, end at Nasir Memon fortsat selv anvender fingeraftryk som ID på sin mobil.

»Jeg er ikke urolig. For mig er det stadig en meget praktisk måde at låse en mobil op på«, siger han til New York Times.

Ingen bemærkninger fra Google

De falske fingeraftryk kan anvendes - eller misbruges - på to forskellige måder. Enten skal de kriminelle opfinde den magiske handske, professor Memon omtaler, og fysisk være i besiddelse af mobilen.

Eller alternativt skal de snige sig ind via en ondsindet app.

En app vil potentielt kunne anvende falske fingeraftryk til at give sig selv tilladelse til at søge data i andre applikationer, som kan afsløre personfølsomme informationer. Men som mobiltelefonerne er konstrueret i dag, vil det være overordentligt besværligt at sende penge via MobilePay eller kigge i folks e-Boks.

»Hvis det er hensigten, er der markant lettere måder at opnå det på allerede i dag«, siger Peter Kruse.

It-kriminelle truer banker

Hvorvidt de kunstige fingeraftryk vil kunne anvendes i fremtidens danske sikkerhedssystem, som er under udvikling, afhænger udelukkende af, om der bliver taget højde for, at de små skannere, som udelukkende optager en mindre del af brugerens fingeraftryk, øger risikoen for at ligne et af de kunstige masteraftryk.

»Jeg vil klart anbefale dem, som arbejder på en ny version af NemID, at studere rapporten«, siger Peter Kruse.

En talsperson for Apple fortæller til New York Times, at risikoen for et falsk match i iPhones Touch ID er med et enkelt fingeraftryk.

Google har ingen kommentarer.

fortsæt med at læse