黑客飞跃运动应用程序:安全研究人员欺骗生物识别自动登录系统
8月14日使用Battelle和Leap Motion的新数据
创新的手势控制小工具飞跃动作,刚刚在三周前向公众发布并已经看到了超过一百万的应用程序下载,可能必须更仔细地检查一些这些节目。
Malwarebytes的安全研究人员已经发现了如何规避其中的至少一个。
“我甚至没有试图破解它,”Malwarebytes研究员让Jean Taggart告诉我。“我只是展示了一位同事。他走了起来,把手放在键盘上,登录到我的电脑。“
有问题的应用程序是Battelle Signwave,Leap Motion的AirSpace App Store上的免费应用程序,您可以使用手中登录计算机。不幸的是,看来,我们的手可能不会像我们想象一样独特。当Battelle认为它是那样,签名可能不如区分不同的人手。
Leap Motion是一款关于一包口香糖尺寸的创新键盘的计算机控制器。它感应了手和手指的运动,使您能够使用Midair手势控制您的计算机。Leap Motion比Microsoft的Kinect更准确,感测甚至在每秒290帧的290帧中感测甚至1/100的毫米运动。
这是如何从Battelle网站上工作的Signwave解锁:
SignWave Unlock使用此功能来识别手的独特特征,以构建允许计算机识别您并通过简单地将手放在Leap Motion设备上识别您并快速访问计算机的配置文件(AKA生物识别)。
然而,正如您所看到的,只需通过传播他的手指,第二个安全研究员欺骗了系统,令人信服的是计算机的正确所有者,并解锁系统以满足系统。
“该应用程序处于实验部分,但它在您的密码上方并不高于您的密码,”Taggart说。“如果您安装它,它允许您进入Windows。”
这是如何通过“快速,轻松,安全地”访问您的PC的签名,即:
当我联系了关于该应用程序的Leap Motion时,产品营销迈克尔萨格多凯克的VP指出了签名解锁的应用程序详细声明“并非旨在取代现有的安全措施。”该应用程序描述还表示,它旨在补充您的密码,指纹读卡器,虹膜扫描仪或面部识别安全功能,并且存在“假阳性的可能性”。
当然,这种语言在产品视频中的“快速,轻松和安全”有所作为。它与Battelle网站上的语言不同,这强调了应用程序的缓和和简单 - 而且不必使用密码:
寻找更快,更简单的方式来登录您的计算机?想要没有复杂的登录的安全性吗?
Battelle Signwave解锁是您的答案。
SignWave Unlock软件使用3D数据和基于手势的身份验证来识别用户并允许自由访问计算机系统,而无需键入密码。只是你手的浪潮让你登录你的电脑。
我已联系Battelle关于安全问题并收到此更新:
正如空域商店的应用描述中所述,可能是您所经历的误报。SignWave解锁使用的是使用新类型的生物识别算法使用才能与LEAP运动控制器收集的数据。
这就是为什么该应用程序是免费的,以增加用户的数量和其安全算法所取决的生物分子点。数据越多,应用程序更好。我们非常感谢我们的签名解锁用户通过选择匿名数据共享程序来帮助改进应用程序的用户。
我今天也聊了今天跳跃行动代表,他们表示关注解锁的解锁描述之间的差异,以及关于Battelle网站的描述,说他们正在使用Battelle来解决这些差异 - 并为其演示添加一个注释视频现在不适用于高安全性情况。
显然,新版本即将推出更好的安全性。
“我们确实有应用程序必须坚持的批准政策,并将删除任何违反这些的应用程序,”Leap Motion的Zagorsek通过电子邮件表示。