Fingeravtrykssensorer har gjort moderne smarttelefoner om til mirakler av bekvemmelighet. Et trykk på en finger låser opp telefonen - ingen passord kreves. Med tjenester som Apple Pay eller Android Pay kan et fingeravtrykk kjøpe en pose med dagligvarer, en ny bærbar PC eller til og med $ 1 millioner årgang Aston Martin. Og å trykke en finger inne i en bank-app lar en bruker betale regninger eller overføre tusenvis av dollar.
Selv om en slik trollmannskap er praktisk, har den også etterlatt et gapende sikkerhetshull.
Nye funn publisert mandag av forskere ved New York University og Michigan State University antyder at smarttelefoner lett kan lures av falske fingeravtrykk digitalt sammensatt av mange fellestrekk som finnes i menneskelige utskrifter. I datasimuleringer var forskerne fra universitetene i stand til å utvikle et sett med kunstige "MasterPrints" som kunne matche ekte utskrifter som ligner på de som brukes av telefoner så mye som 65 prosent av tiden.
Forskerne testet ikke tilnærmingen deres med ekte telefoner, og andre sikkerhetseksperter sa at matchfrekvensen ville være betydelig lavere under virkelige forhold. Fortsatt reiser funnene urovekkende spørsmål om effektiviteten av fingeravtrykksikkerhet på smarttelefoner.
"Det er nesten ikke så bekymringsfullt som presentert, men det er nesten ganske dårlig," sa Andy Adler, professor i system- og datateknikk ved Carleton University i Canada, som studerer biometriske sikkerhetssystemer. "Hvis alt jeg vil gjøre er å ta telefonen din og bruke Apple Pay til å kjøpe ting, hvis jeg kan komme inn på 1 på 10-telefoner, er det ikke dårlige odds."
Hele menneskelige fingeravtrykk er vanskelig å forfalske, men fingerskannerne på telefonene er så små at de bare leser delvise fingeravtrykk. Når en bruker setter opp fingeravtrykssikkerhet på en eple iPhone eller en telefon som kjører Googles Android-programvare, tar telefonen vanligvis åtte til 10 bilder av en finger for å gjøre det lettere å lage en fyrstikk. Og mange brukere registrerer mer enn en finger - si tommel og pekefinger på hver hånd.
Siden en sveip med fingre bare må matche ett lagret bilde for å låse opp telefonen, er systemet sårbart for falske fyrstikker.
"Det er som om du har 30-passord og angriperen bare trenger å matche ett," sa Nasir Memon, professor i informatikk og ingeniørvitenskap ved NYUs Tandon School of Engineering, som er en av tre forfattere av studien, som ble publisert i IEEE-transaksjoner om informasjonsmedisin og sikkerhet. De andre forfatterne er Aditi Roy, postdoktor ved NYUs Tandon School, og Arun Ross, professor i informatikk og ingeniørfag ved Michigan State.