Než přišel Apple s Face ID, byl otisk prstů považován za ten nejbezpečnější a nejrychlejší možný způsob, jak odemknout svůj iPhone. Dodnes Apple nabízí iPhone SE, klávesnice a MacBooky, které se odemykají pomocí otisků prstů. Nyní se však ukazuje, že to může představovat bezpečnosntí riziko. Vaše otisky prstů totiž mohou být vytvořeny a to pouze ze zvuků, které vydávají prsty, když s nimi přejíždíte po displeji vašeho telefonu nebo tabletu.
Skupina vědců z Číny a USA dokázala popsat a vytvořit zajímavý útok na biometrické zabezpečení. Takzvaný AFIS (Automatic Fingerprint Identification System) je systém, který se stará o to, aby rozeznal váš otisk prstu a ten lze obejít tím, že dojde k vytvoření kopie vašeho otisku prstů. V tomto případě je otisk prstů vytvořen pomocí zachycení zvuků, které vydává váš prst pohybující se po dotykové obrazovce. Vědcům se podařilo vytvořit otisk prstů s úspěšností 27,9 %, což znamená, že více než jeden ze 4 pokusů funguje, což je celkem dost.
Pro odposlouchávání používají takzvaný PrintListener, tedy utilitu, která dokáže z mikrofonu přímo z vašeho telefonu nahrát zvuk prstu pohybujícího se po obrazovce a následně z tohoto zvuku vytvořit kopii vašeho otisku prstu. Ten pak již jen stačí „vytisknout“ na vodivý materiál, který simuluje lidskou kůži a odemknout telefon.
Zvuk je navíc zachycen přímo z mikrofonu v daném zařízení. Tedy pokud například používáte nějakou aplikaci, která má přístup k vašemu mikrofonu. Typicky se jedná například o Skype, WhatsApp, Discord, FaceTime, WeChat a tisíce dalších. Během toho, co aplikace má možnost využívat mikrofon, uživatel přejíždí prstem po displeji a mikrofon může zachytit tyto zvuky. Útočník, který zvuky získá, může využít PrintListener a vytvořit z nich otisk prstů. PrintListener využívá složité alogoritmy, pomocí kterých vytváří vizualizaci otisku na základě nahraných zvuků, které váš prst vydává při pohybu na displeji.
Nejedná se zřejmě o útok, který by se mohl nějak masově používat přímo k útokům na telefony nebo tablety jako takové, ovšem problém je zcela jinde. Lidé mají často pomocí otisků prstů chráněné trezory, domy, bezpečnostní schránky a mnoho dalšího a pokud útočník získá otisk prstů z telefonu, může jej využít k proniknutí do mnohem cennějších věcí, než je telefon. Je však pravděpodobné, že se to bude týkat velmi malého procenta zájmových osob.
