Cibercriminosos podem ter uma nova maneira de obter seus dados biométricos, ou seja, dados pessoais sensíveis, à luz da LGPD, ouvindo secretamente o som do seu dedo deslizando no seu smartphone, e recriando a partir daí, as suas impressões digitais.
Uma equipe de cientistas da China e dos Estados Unidos afirma ter desenvolvido uma técnica intitulada de Automatic Fingerprint Identification System (AFIS), apelidada de PrintListener, que permite extrair padrões de impressões digitais a partir do som da fricção produzida pelo deslizar em uma tela sensível ao toque. Ataques de canal lateral exploram informações, inadvertidamente vazadas por um sistema.
Eles afirmam que o novo método de ataque pode aumentar a eficiência dos MasterPrints1, soando o alarme para a segurança da autenticação por impressão digital.
A autenticação por impressão digital tem sido amplamente utilizada em sistemas modernos de verificação de identidade devido à sua rapidez e relação custo-benefício. Devido ao seu uso generalizado, o vazamento de impressões digitais pode causar roubo de informações críticas, enormes perdas econômicas, de cunho pessoal, e até mesmo um potencial comprometimento da segurança de nações.
Como uma identificação pessoal essencial e bem reconhecida, a impressão digital se integrou perfeitamente à vida cotidiana das pessoas, por exemplo, para o desbloqueio de telas de smartphones, pagamentos online por impressão digital, documentos de identidades, passaportes eletrônicos, dentre outros. Consequentemente, ela ganhou adoção generalizada em aplicações como autenticação de usuários, plataformas de transações online, controle de acesso e órgãos governamentais. Estima-se que o tamanho do mercado de autenticação por impressão digital atinja US$ 99,9 bilhões até 2032.
O cenário de um suposto ataque utilizando o PrintListener é extenso e furtivo. Ele precisa apenas gravar o som da fricção dos dedos dos usuários e pode ser lançado aproveitando um grande número de plataformas de mídia social. Resultados experimentais extensivos em cenários do mundo real mostram que o PrintListener pode melhorar significativamente a eficácia de ataques com o emprego do MasterPrint.
“Após espionar o som da fricção do dedo do usuário por meio de uma rede social, por exemplo, o PrintListener gera uma sequência especializada de PatternMasterprint projetada especificamente para a impressão digital do usuário”
Prevenir o vazamento de informações de impressões digitais dos usuários é um desafio significativo em todo o mundo. A violação de tais informações pode levar ao roubo de dados pessoais sensíveis, perdas financeiras substanciais, e até mesmo representar uma ameaça à segurança nacional. As explorações atuais de ataques a impressões digitais são principalmente baseadas na escrutinação por contato. É possível extrair impressões digitais utilizadas nas superfícies que foram tocadas ou, até mesmo, de fotos de dedos expostos.
Portanto, uma sugestão intuitiva para melhorar a segurança das impressões digitais é que as pessoas mantenham suas impressões digitais fora da vista de outros. Mas, e as impressões digitais utilizadas nas catracas de academias e demais prédios comerciais? No entanto, esse cenário ideal é realmente seguro contra ataques? Felizmente, suas taxas de sucesso de ataque são muito baixas em uma configuração de alto nível de segurança. Especificamente, as taxas de sucesso de ataque do MasterPrint e DeepMasterPrint são de apenas 1,88% e 1,11% com uma taxa de aceitação falsa (FAR) de 0,01%. Mas se o cibercriminoso tiver inferido algumas informações da impressão digital da vítima sem contato, é possível gerar sequências MasterPrint mais fortes para ataques de dicionário?
Recentemente, alguns estudos têm mostrado que a singularidade do som de fricção do dedo ao deslizar é influenciada pelas características biométricas da impressão digital de um indivíduo. Além disso, esses sons de fricção do dedo ao deslizar podem ser capturados por cibercriminosos, com alta probabilidade, o que será um catalisador para viabilizar tais ataques. Por exemplo, os usuários se envolvem em jogos online por meio de aplicativos sociais como o Discord, onde os jogadores interagem e cooperam através de chat de vídeo e voz no jogo. Nesses casos, os usuários frequentemente deslizam os dedos pelas telas dos dispositivos. Da mesma forma, durante chamadas de áudio e vídeo em plataformas sociais de dispositivos móveis (por exemplo, Skype, WeChat e Apple FaceTime), os usuários inconscientemente realizam operações de deslizamento na tela, como procurar outros aplicativos. Esses sons de fricção ao deslizar serão transmitidos para a outra parte pelo software de comunicação social, bem como por malware com permissão de gravação.
Os pesquisadores também realizaram experimentos no mundo real, mostrando que o PrintListener pode ser utilizado em até 26,5% das impressões digitais parciais e 9,3% das impressões digitais completas.
O artigo foi escrito por pesquisadores da Universidade de Ciência e Tecnologia de Huazhong em Wuhan, China, da Universidade de Tsinghua em Pequim e da Universidade do Colorado Denver. A pesquisa foi apresentada no Simpósio de Segurança de Redes e Sistemas Distribuídos (NDSS) 2024, que ocorreu de 26 de fevereiro a 1 de março de 2024 em San Diego, Califórnia.
Além disso, sensores de impressão digital de smartphones podem ser enganados em até 65% das vezes por MasterPrints compostos digitalmente a partir de características comuns de impressões digitais, segundo descobertas publicadas por pesquisadores da Universidade de Nova York e da Universidade Estadual de Michigan.
No relatório MasterPrint: Exploring the Vulnerability of Partial Fingerprint-based Authentication Systems, os pesquisadores alertam que os sistemas de autenticação baseados em impressões digitais parciais são potencialmente vulneráveis, particularmente quando múltiplas impressões de cada dedo são registradas. Registrar múltiplas impressões é frequentemente necessário pelos dispositivos para garantir uma correspondência positiva, dizem os pesquisadores, e em alguns casos os usuários registram múltiplos dedos, expandindo ainda mais o número de impressões.
Fica aqui, mais uma vez, o pedido de atenção e de análise crítica em fornecer as suas impressões digitais para acessar prédios públicos ou privados, no Brasil e no resto do mundo. A sua privacidade e a proteção dos seus dados dependem da sua vigilância. Boa semana!
- MasterPrints: são impressões digitais sintéticas projetadas para serem genéricas o suficiente para corresponder a um grande número de impressões digitais e enganar um sistema biométrico. O PatternMasterPrints funciona de maneira semelhante, mas também adiciona informações dos padrões de um usuário individual deslizando a tela, aumentando a chance de correspondência com uma impressão digital real. ↩︎