Synaptics本周進(jìn)行了有趣的演示,在短短的幾分鐘內(nèi),用戶指紋圖像被盜竊并被復(fù)制,它被用來(lái)訪問(wèn)用戶的智能手機(jī)和筆記本電腦或任何帶有指紋傳感器的其他設(shè)備。Synaptics指出,在龐大的設(shè)計(jì)中,指紋傳感器和主機(jī)之間的鏈接并不總是加密。
在本周的演示當(dāng)中,Synaptics采用先進(jìn)的中間人攻擊,它捕獲了兩個(gè)可用筆記本上的指紋傳感器數(shù)據(jù),并將數(shù)據(jù)無(wú)線傳輸?shù)搅硪慌_(tái)機(jī)器,用于創(chuàng)建用戶指紋的物理拷貝。然而,拷貝可以使用配有通用導(dǎo)電油墨的現(xiàn)成噴墨打印機(jī)在照片紙上打印出圖像用于攻擊。
為了詳細(xì)演示這種攻擊,Synaptics創(chuàng)建了一個(gè)小型設(shè)備,包括大約25美元的組件,可以在線上獲得,這些組件位于指紋傳感器和幾臺(tái)筆記本電腦的主機(jī)之間。該微型設(shè)備由微控制器和任何指紋發(fā)送器組成,并且對(duì)于主機(jī)是不可見(jiàn)的。除了捕獲和傳輸初始指紋數(shù)據(jù)之外,它還允許攻擊者通過(guò)物理打印出來(lái)的指紋導(dǎo)電油墨圖像,來(lái)訪問(wèn)受害者的個(gè)人智能手機(jī)。
現(xiàn)在,Synaptics正在推廣其SentryPoint技術(shù),該技術(shù)為指紋認(rèn)證提供端到端的安全性。