Команда специалистов по компьютерной безопасности при финансовой поддержке DARPA (Агентства по перспективным оборонным научно-исследовательским разработкам США) в новой исследовательской работе привлекает внимание к ненадёжности методов идентификации пользователя по его профилю работы с сенсорным экраном устройства. Построенный командой робот на базе Lego Mindstorms сумел заставить различные системы аутентификации на смартфоне поверить, что телефоном пользуется его владелец.
В последнее время набирает популярность разработка систем аутентификации пользователей на основе анализа жестов. Идея в том, чтобы собрать данные об использовании сенсорного экрана пользователем, а затем на этой основе построить профиль движений пользователя и постоянно сверять его с теми движениями, которые используются при работе со смартфоном. Считается, что набор данных о движениях (начало и конец свайпа, продолжительность, и т.п.) уникальны для каждого человека.
Авторы исследования отмечают, что такую систему следует использовать лишь как вспомогательную – они показали, что два существующих способа её обхода реализуются при помощи несложного робота. Первый заключается в обработке статистики использования устройств разными пользователями с целью построения некоего универсального усреднённого профиля использования сенсорного экрана. Второй предполагает кражу хакером информации об использовании смартфона конкретным пользователем, с целью выдать себя за него.
В работе, озаглавленной «роботизированное ограбление на сенсорном экране», исследователи изучали оба этих метода. Для автоматизации процесса ими был построен робот из Lego Mindstorms, на манипуляторе которого был укреплён муляж пальца, сделанный из аналога пластилина "Play-Doh".
Данные о жестах были собраны у 41 человека, участвовавших в опыте, которые по заданию испытателей совершали несколько естественных для системы Android действий, накапливая базу жестов (всего каждый воспроизвёл по 28 различных движений).
Затем исследователи проверяли описанные подходы на семи различных алгоритмах распознавания пользователей через жесты. Первый подход, с использованием усреднённых жестов, сумел обмануть наименее надёжный алгоритм в 70 процентах случаев – в этих случаях алгоритм ошибочно определял, что устройством пользуется человек, владелец смартфона.
Когда же во второй фазе эксперимента учёные использовали данные, полученные от конкретного пользователя, роботу, что неудивительно, удалось обмануть алгоритмы распознавания уже в 90% случаев.
Авторы исследования заключили, что, поскольку атаки подобного рода легко проводить, используя свободно доступное оборудование, то компаниям, занимающимся защитой, необходимо не только включить в процедуру проверки надёжности защиты испытания с подобными роботами, но и поработать над усовершенствованием самой защиты в целом.
