黑客绕过基于静脉的身份验证

一些研究人员演示了如何使用照片中的假手构建来绕过基于静脉的身份验证。

如果您认为基于静脉的身份验证是完全安全的，那么您需要知道，一组研究人员在Chaos Communication Congress黑客大会上展示了不一样的情况。

基于静脉的认证扫描手掌，手背，手指等的隐形静脉图案（即用户静脉的形状，大小和位置）以识别用户。

这种身份验证的方法被认为是超级安全的，它也被德国情报机构BND在柏林的新总部大楼中使用。

在德国莱比锡召开的Chaos Communication Congress黑客大会上，研究人员Jan Krissler（又名 starbug）和Julian Albrecht设计了一种绕过基于静脉认证的方法，他们用蜡制作了一只假手。

Krissler和Albrecht在接受Motherboard采访时表示:““让你感到不安的是，这个认证过程被称赞为高安全性系统，然后你用一个改装了的摄像头和一些便宜的材料就可以破解了它，”

为了用蜡制作这只假手，Krissler和Albrecht在皮肤下拍摄了他们的静脉图案，然后他们使用了一台经过改装的单反相机，去掉了红外滤镜。专家解释说，黑客可以使用这种技术从5米远的地方拍摄一张手的照片。这两个安全人员在30天内拍摄了超过2,500张照片，制作了一只蜡手。

“从五米远的距离拍摄照片就够了，去新闻发布拍几张照片也行，” Krissler 解释。

“当我们第一次欺骗系统时，我很惊讶它这么容易，”“生物识别技术是一场拉锯战。制造商改进他们的系统，黑客来破解它然后又重新开始。“

专家们向富士通和日立分享了他们的研究细节。

研究警告说，持久攻击者可以使用他们测试的技术来绕过用于保护受限区域的形同虚设的基础身份验证。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/79297/hacking/bypass-vein-ba sed-authentication.html