3 dakika, 21 saniye

New York Üniversitesi’nden araştırmacılar, biyometrik tanımlama sistemlerini taklit etmek için kullanılabilecek bir dizi parmak izi anahtarı oluşturdular.

Araştırmacılar tarafından kullanılan parmak izleri veri tabanı, 1000 kez rastgele bir parmak izi ile yanlış eşleşme şansına sahip olsa da, ürettikleri usta baskılar, beş kez biriyle yanlış bir şekilde uyuşma gücüne sahip.

Kağıtları baskı öncesi sunucu ArXiv’de yayınlandı ve parmak izi kimliklerinin yapay olarak makine öğrenimi kullanılarak oluşturulabildiğini ve parmak izi kimlik doğrulaması ile güvence altına alınan veritabanlarını kandırmak için kullanılabildiğini kanıtladı.

Bu endişe verici bir durumdur çünkü artan sayıda cihaz ve Hindistan’ın Aadhar gibi büyük ölçekli veritabanları, kullanıcıları benzersiz bir şekilde tanımlamak için dijital parmak izi kullanmaktadır ve potansiyel olarak kimlik hırsızları tarafından ‘ana anahtar’ parmak izleriyle hedeflenebilir.

Geçen yıl Counterpoint Research tarafından yayınlanan bir raporda , 2017 yılında gönderilen akıllı telefonların yüzde 50’sinden fazlasında parmak izi algılayıcıları bulunduğunu ve bu yılın sonunda rakamın yüzde 71’e çıkacağını tahmin ettiğini belirtti.

Sorun şu ki, bu sensörler, kullanıcıların parmak izlerinin sadece parmak izlerini (tarayıcıyla temas ettikleri noktalarda) elde etmeleridir. Belge, kısmi baskıların tam baskılar kadar belirgin olmadığından, bir kısmi baskının diğeriyle eşleşmesi olasılığının yüksek olduğunu belirtti.

Araştırmacılar tarafından DeepMasterPrints olarak adlandırılan yapay olarak üretilmiş baskılar, bir veritabanındaki beş parmak izinden birini doğru şekilde taklit etmek için yukarıda bahsedilen güvenlik açığından yararlanır. Veritabanının başlangıçta bin kişide sadece bir hata oranı olması gerekiyordu.

Araştırmacılar tarafından istismar edilen diğer bir zayıflık, döngüler ve whorls gibi bazı doğal parmak izi özelliklerinin diğerlerine göre yüksek olmasıydı . Bu anlayışla, ekip bu ortak özelliklerden bazılarını içeren bazı baskılar üretti. Bu yapay baskıların normalde mümkün olandan başka baskılarla eşleşmesinin daha olası olduğunu gördüler.

Bu en çok tekrarlanan özellikleri kullanarak, sinir ağlarını ikna edici bir şekilde gerçek bir parmak izi gibi görünen sahte baskılar da yarattı.

DeepMasterPrints, kullanıcının parmak izi hakkında herhangi bir bilgi gerektirmeden parmak izi kimlik doğrulaması gerektiren bir sistemi taklit etmek için kullanılabilir. Kağıt, sahte baskıların uygulanmasına dikkat çekti:

Bu nedenle, parmak izi tabanlı bir tanıma sisteminin güvenliğini tehlikeye atabilecek belirli bir konuya karşı bir sözlük saldırısı başlatmak için kullanılabilirler.

Siber güvenlik uzmanı ve köşe yazarı Mikko Hypponen, yaygın olarak kullanılan biyometrik sistemlerde bu kırılganlığın önemini vurgulamak için heyecan yarattı.

Siber güvenlik önlemleri ve güvenlik açıklarından yararlanan araçlar arasında her zaman kedi-fare takipleri olmuştur, bu yüzden bu sarsıntı yakın olmuştur. Ancak, bu biyometrik özelliklerin kullanılma yönteminin, iris tarayıcıları gibi diğer sistem türlerini taklit etmek için kullanılıp kullanılamayacağını görmek ilginç olacaktır.

Dikkat edilmesi gereken diğer bir şey, yalnızca güvenlik için biyometrik tarayıcılara dayanan kamu veri tabanlarının güvenliğidir. Arkadaş canlısı mahalledeki hırsızların, telefonunuzdaki bilgilere erişmek için bu tür ana baskıları yapma olasılığı yoktur. Ancak hükümetlerin ID vatandaşlarına kullandıkları gibi büyük ölçekli veritabanları, iddialı suçlular tarafından daha kolay bir şekilde sahtekarlık olabilir.