Forskere brugte AI til at lave 'master'-fingeraftryk, som kan låse smartphones op

Illustration: IuriiMotov/Bigstock
Forskerne udnyttede en svaghed i fingeraftrykslæsere.

Sikkerhedsforskere har eksperimenteret med mange kreative måder at låse mobiltelefoner op på for at komme hackere i forkøbet, og nu er der kommet endnu en snedig metode. Forskere har nemlig formået at lave et 'master-fingeraftryk', fortæller Motherboard.

Det er altså et slags universelt fingeraftryk, som kan bruges til at låse en hvilken som helst mobiltelefon op ved hjælp af fingeraftrykslæseren – lidt på samme måde, som en master-nøgle fungerer på.

Baseret på kunstig intelligens

Denne lille teknologiske succes, som forskerne døbte 'DeepMasterPrints', blev opnået ved hjælp af kunstig intelligens og maskinlæring.

Forskerne trænede et såkaldt neuralt netværk, altså et netværk, som 'lærer' ved hjælp af datasæt, med ægte fingeraftryk fra over 6.000 personer.

På baggrund af dataene fra disse aftryk lavede man en 'generator', som skabte syntetiske fingeraftryk fra bunden. Derefter blev en 'diskriminator' trænet op til at kategorisere og skille ægte fra syntetiske fingeraftryk.

Hvis 'diskriminator-delen' af netværket afgjorde, at fingeraftrykket var falsk, foretog generatoren en lille justering af aftrykket; en proces, som blev gentaget tusindvis af gange, indtil diskriminatoren ikke formåede at skelne mellem det ægte og det falske aftryk.

Generatoren endte dermed med at lave troværdige, syntetiske fingeraftryk, som deler mange af de egenskaber, man finder i ægte aftryk.

Høj succesrate

Forskerne udnyttede det faktum, at fingeraftryksaflæsere har en sikkerhedssvaghed, i form af at de ikke registrerer hele fingeraftrykket, hvilket reducerer præcisionskravet til de syntetiske fingeraftryk.

Resultatet blev, at forskerne formåede at lave et master-fingeraftryk, som i tests narrede fingeraftrykslæseren i hele 76 procent af tilfældene, vel at mærke på det laveste sikkerhedsniveau – defineret ved en såkaldt FMR-værdi på 1 procent.

FMR-værdien refererer til sandsynligheden for, at et bedrager-aftryk fejlagtigt matches med et ægte aftryk.

Ifølge forskerne er det imidlertid usandsynligt, at en læser vil være så medgørlig under realistiske omstændigheder. Med en medium-FMR-værdi på 0,1 procent, som forskerne anser for værende mere realistisk, blev sensoren narret i 22 procent af tilfældene – også et ganske højt tal.

På det højeste sikkerhedsniveau, hvor FMR-værdien kun var på 0,01 procent, formåede forskerne kun at narre fingeraftrykslæseren i 1,2 procent af tilfældene.

Alle detaljerne om teknologien og metodikken kan du finde i selve forskningsdokumentet.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Når min søn, på 1 år, får fingre i min telefon, så kan han låse den op med sit fingeraftryk. Om mine fingreaftryk er indlæst så dårligt, at næsten alle kan låse den op eller om der er ligheder mellem min søns og mine fingeraftryk lader jeg være i det uviste. Det har i hvert fald fået mine (og dem jeg fortæller det) øjne op for hvor ringe sikkerhed der er i fingeraftryk på mobilen.

Det er en OnePlus 2, så det er også en telefon af ældre dato.

Martin Storgaard Dieu

Det er godt at det ikke er dig, som betaler for forskerne så :)

At forske i noget som sikre hele den almene befolknings digitale liv, er ikke pjatværk i min optik. Især ikke når man viser at det som den almene befolkning synes er "sikkert nok", viser sig at det slet ikke at være det.

Det har også potentiale til at gøre hele diskussionen om at politiet må tvinge din finger ned på telefonen helt værdiløs. Hvorfor skulle de tvinge dig, når de har en skeletonkey til din telefon?

Kjeld Flarup Christensen

Hvor høj en opløsning har sådan en fingeraftrykslæser egentligt.
Enhver som har prøvet at få taget fingeraftryk til et visum eller i en lufthavn, vil vide at det er en tung omgang, altså fingeraftryklæsere i telefoner, må nødvendigvis lave nogle forsimplinger.

Log ind eller Opret konto for at kommentere