Studie, z níž mrazí: Otisk prstu lze ukradnout při hovoru metodou poslouchání prstu, jak jezdí po displeji

Zní to neuvěřitelně, ale je to tak, otisk prstu lze zrekonstruovat na základě zachycených zvuků, které vznikají při přejíždění prstem po displeji telefonu.

Lukáš Altman (Mobify.cz)

Biometrické zabezpečení, z něhož je uživatelům elektroniky nejznámější otisk prstu a snímání obličeje, nejenom, že není vždy 100%, ale redakce Mobify dokonc narazila na upozornění Kaspersky, že vědci přišli s metodou PrintListener, jíž dokáží ukradnout otisk prstu na dálku. A to tak, že poslouchají, jak přejíždíte prstem po displeji, přičemž z jednotlivých střípků následně sestaví celý otisk.

Zatím je to jenom studie, ale funguje to

Na toto téma vznikla rozsáhlá studie ve spolupráci čínských a amerických vědců, a metoda zní snad neuvěřitelně. Zmíněný Kaspersky ji vysvětluje následovně: představte si, že jste přes chytrý telefon připojeni ke stejnému konferenčnímu hovoru jako útočník, případně k němu má přístup, aniž byste o tom věděli. Když přitom během hovoru přejíždíte po displeji, třeba abyste někomu odepsali, něco vyhledali apod., je zvuk „klouzání“ prstu po displeji slyšet.

A to standardně vestavěným mikrofonem telefonu, což aktérovi umožňuje zvuk nahrávat a analyzovat. Z toho může následně vytvořit dostatek fragmentů otisku prstu k odemknutí telefonu pomocí „umělého prstu“. Jo, neuvěřitelné, divné, kravina …akorát, že vůbec.

Kaspersky pokračuje tím, že když přejíždíte prstem po displeji, vytváří ono tření nějaký zvuk (při normální vzdálenosti od hlavy slyšet není, ale když se zaposloucháte, tak ano), přičemž se liší podle toho, v jakém směru zrovna po displeji jedete, zda třeba rychle přejíždíte sem tam atd. Když se přitom podaří tyto zvuky zachytit v dostatečném množství a kvalitě a analyzovat je, lze na jejich základě sestavit přibližný (velmi podobný) otisk prstu.

Otisk prstu sestavený na základě databáze

Samozřejmě to není jenom tak a samotný zvuk od přejíždění prstem po displeji lidskému uchu nic neřekne. Výše zmíněná studie uvádí, že výzkumníci vytvořili speciální program na rozpoznávání zvuků, přičemž mu dali k dispozici rozsáhlou databázi otisků prstů a jak zní při přejíždění po displeji v různých situacích, při různém hluku na pozadí apod. zjistit, co potřebují.

Experiment, při němž bylo snímáno 180 prstů, podstoupilo 65 dobrovolníků, a ukázalo se, že byl algoritmus schopen velice přesně předpovědět určité charakteristiky otisků prstů pouze na základě zvuku pohybu prstu po povrchu smartphonu. PrintListener nicméně není první metoda, která by mohla ke krádeži otisků prstů posloužit, osobně mi ale přijde ze všech nejpodivnější, a to jak v pozitivním slova smyslu, tak v tom negativním.

Biometrické zabezpečení může někdy „zlobit“

Otisk prstu dle redakce Mobify výrazně usnadňuje každodenní práci s telefonem – odemykání zařízení je rychlé, intuitivní a možné i bez zadávání PIN kódu nebo gesta. Snímač v displeji, případně je-li samostatně, zároveň umožňuje bezpečné přihlašování do aplikací (například bankovních), autorizaci plateb nebo přístup k citlivým datům. V porovnání s rozpoznáváním obličeje je také méně náchylný na změny prostředí (například tma) nebo vzhledu uživatele, i když zejména „vlajkové lodě“ ani s tímto problém nemívají.

Jenom malé upozornění na základě zkušeností, s nimiž jsem se setkával v servisu – docela často za mnou chodili lidé s tím, že chtějí vyměnit home button (na iPhonu), protože jim začal špatně snímat otisk prstu, a podařilo se to často až na několikátý pokus. Ani jednou jsem nezažil, že by čtečka v tlačítku opravdu vypověděla službu – akorát jednou, když se ho uživateli podařilo prasknout.

Důvod byl skoro vždy stejný – čtečka přestala fungovat uživateli, který měl nějakou náročnější fyzickou práci, potažmo dělal rukama – pamatuji si na jednoho automechanika, jehož jsem se ptal, jestli nemá třeba sedřené nebo spálené prsty – odpověděl, že jasně, že skoro denně. A problém byl vyřešen – stačilo staré otisky prstů smazat a nahrát nové, aktuální, a hned zase fungovaly precizně.