Araştırmacılar, dünya çapındaki parmak izi kimlik doğrulama sistemlerinin bütünlüğünü tehlikeye atabilecek yeni bir siber güvenlik tehdidini ortaya çıkardı.
“PrintListener” olarak adlandırılan yöntem, kullanıcıların parmak izlerini çıkarmak ve yeniden yapılandırmak için akıllı telefon ekranlarındaki parmak ucu sürtünme sesinden yararlanıyor ve potansiyel olarak hassas kişisel ve finansal bilgilere erişimin kilidini açıyor.
Parmak izi kimlik doğrulaması, akıllı telefonların kilidini açmak, ödemeleri yetkilendirmek ve güvenli konumlara erişimde kullanılan modern güvenliğin temel taşı haline geldi.
Ancak PrintListener'ın arkasındaki Çin ve ABD'deki prestijli kurumların siber güvenlik uzmanlarından oluşan ekip, yaygın olarak güvenilen bu sistemde önemli bir güvenlik açığı olduğunu ortaya koydu.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
PrintListener Saldırısı
PrintListener saldırısı, kullanıcının parmağını akıllı telefon ekranında kaydırdığında çıkan ince sesi yakalayarak çalışıyor.
Her parmak ucundaki benzersiz desenler nedeniyle kişiden kişiye ufak farklılıklar gösteren bu sesler, sıradan telefon görüşmeleri veya popüler sosyal medya platformlarındaki görüntülü sohbetler sırasında kaydedilebiliyor.
Araştırmacılar daha sonra parmak izi desenini çıkarmak için bu kayıtları analiz ediyor ve gelişmiş algoritmalarla, parmak izi tarayıcılarını aldatabilecek ayrıntılı bir parmak izi görüntüsünü yeniden oluşturuyor.
Araştırmanın başyazarı Man Zhou, “Bulgularımız kurbanla fiziksel yakınlık gerektirmeyen gizli ve kapsamlı bir saldırı senaryosunu ortaya koyuyor” dedi.
“Bu, dijital çağda tehditlerin gelişen doğası hakkında siber güvenlik topluluğuna ve kamuoyuna bir uyandırma çağrısıdır.”
Ağ ve Dağıtılmış Sistem Güvenliği Sempozyumu 2024'te sunulan çalışma, gerçek dünya senaryolarında kapsamlı deneyler içeriyordu.
Alarm Verici Sonuçlar
PrintListener, parmak izi kimlik doğrulama sistemlerinin en yüksek güvenlik ayarlarında beş denemede kısmi parmak izlerinin %27,9'una ve tam parmak izlerinin %9,3'üne başarıyla saldırabilir.
Bu yöntemin gizliliği ve yaygınlığı özellikle endişe vericidir. Akıllı telefonlar ve tabletler gibi elektronik cihazlardaki yerleşik mikrofonlardan yararlanılarak, ses ve video özelliklerine sahip ana akım sosyal yazılım aracılığıyla yürütülebilir.
Bu, bir saldırganın, kurbanla aynı odada, hatta aynı ülkede bulunmadan bile potansiyel olarak parmak izi verilerini toplayabileceği anlamına gelir.
Bu güvenlik açığının etkileri geniş kapsamlıdır. Parmak izi kimlik doğrulaması yalnızca kişisel cihazların kilidini açmak için değil, aynı zamanda banka hesaplarına erişim, güvenli binalar ve hatta uluslararası sınırları geçmek için de kullanılıyor.
Bu sistemdeki bir ihlal, kimlik hırsızlığına, güvenli konumlara yetkisiz erişime ve önemli mali kayıplara yol açabilir.
Bu bulgulara yanıt olarak araştırma ekibi, parmak izi kimlik doğrulama sistemlerinin güvenliğini artırmak için acil eylem çağrısında bulundu.
Gerçek ve sentezlenmiş parmak izlerini ayırt edebilen daha karmaşık parmak izi sensörlerinin geliştirilmesi ve yalnızca parmak izlerine bağımlılığı azaltmak için ek kimlik doğrulama faktörlerinin uygulanması da dahil olmak üzere çeşitli karşı önlemler öneriyorlar.
Dijital ortam gelişmeye devam ettikçe siber suçluların kullandığı yöntemler de gelişiyor.
PrintListener saldırısının keşfedilmesi, giderek daha karmaşık hale gelen tehditlere karşı koruma sağlamak için siber güvenlikte sürekli dikkat ve yenilikçilik ihtiyacının altını çiziyor.
Araştırma ekibinin çalışması, siber güvenlik profesyonelleri ile bilgisayar korsanları arasında devam eden savaşta yeni bir sayfa açtı.
İlerledikçe, dijital kimliklerimizin güvenliğinin yalnızca bildiğimiz tehditleri değil aynı zamanda henüz hayal etmediğimiz tehditleri öngörme ve bunlara karşı savunma yeteneğimize bağlı olacağı açıktır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.