Ny keylogger stjäl biometriska data
Egentligen är det en vanligt nätverkssniffer som avlyssnar trafiken från själva fingeravtrycksläsaren till den enhet där bilden tolkas. I dagsläget beskriver forskaren Matthew Lewis systemet som ett bevis på att det går att göra, proof-of-concept. Det är alltså inte frågan om ett generellt system som är färdigt för drift. Men hans farhåga är att tekniken snart kan komma att användas av skurkar. Själv visade han upp sitt koncept under Black-Hat konferensen i Amsterdam förra månaden.
Tidigare har många tillverkare av fingeravtrycksläsare hävdat att deras system bara sparar vissa delar av fingeravtryck. Så det ska inte gå att återskapa en bild av fingret för en angripare som får tag på en databas över all fingeravtrycks-information. Antingen finns det system som sparar hela fingeravtryck eller så är det möjligt att avlyssna signalerna mellan själva läsaren och den del av systemet där bilden av fingeravtrycket analyseras och görs till matematik.
– Tillverkare av biometrisk utrustning kan inte bara lita till skydd genom att inte synas, skriver han i sin beskrivning av systemet.
Han är generellt kritisk till övertro på biometriska data för inloggning.
– Om dessutom inte tillverkarna inte tänker på systemens hemlighet, integritet eller ens tillgänglighet öppnar det för ”biologging” som angreppsmetod mot de organisationer som använder sådana system, skriver han i sin beskrivning.
Han skriver inte vilket företag som tillverkat den fingeravtycksläsare som han avlyssnat. Men han påstår att han kan återskapa en bild av fingret. En sådan bild kan senare användas för att antingen lura själva läsaren. Eller så kan den inspelade elektroniska signalen spelas upp igen för att lura enheten som tolkar signaler.
Källa: The Register