Der Lego-Roboter konnte die Algorithmen täuschen, die den Benutzer durch Gesten erkennen

Ein Team von Computersicherheitsexperten mit finanzieller Unterstützung der DARPA (Advanced Defense Research and Development Agency der USA) macht in einem neuen Forschungsbericht auf die Unzuverlässigkeit von Benutzeridentifizierungsmethoden durch ihr Profil der Arbeit mit dem Touchscreen des Geräts aufmerksam. Der von dem auf Lego Mindstorms basierenden Team gebaute Roboter hat es geschafft, verschiedene Authentifizierungssysteme auf dem Smartphone davon zu überzeugen, dass der Besitzer das Telefon verwendet.

In jüngster Zeit gewinnt die Entwicklung von Benutzerauthentifizierungssystemen auf der Basis von Gestenanalysen zunehmend an Beliebtheit. Die Idee ist, Daten über die Verwendung des Touchscreens durch den Benutzer zu sammeln und dann auf dieser Basis ein Profil der Bewegungen des Benutzers zu erstellen und diese ständig mit den Bewegungen zu vergleichen, die bei der Arbeit mit einem Smartphone verwendet werden. Es wird angenommen, dass eine Reihe von Daten zu Bewegungen (Beginn und Ende eines Wischens, Dauer usw.) für jede Person einzigartig ist.

Die Autoren der Studie stellen fest, dass ein solches System nur als Hilfssystem verwendet werden sollte - sie zeigten, dass die beiden vorhandenen Möglichkeiten zur Umgehung mit einem einfachen Roboter implementiert werden. Die erste besteht darin, Statistiken über die Gerätenutzung durch verschiedene Benutzer zu verarbeiten, um eine Art universelles gemitteltes Touchscreen-Nutzungsprofil zu erstellen. Die zweite betrifft den Diebstahl von Informationen über die Verwendung eines Smartphones durch einen bestimmten Benutzer durch einen Hacker, um sich als dieser auszugeben.

In einem Artikel mit dem Titel "Roboterraub auf dem Touchscreen" untersuchten die Forscher beide Methoden. Um den Prozess zu automatisieren, bauten sie einen Roboter aus Lego Mindstorms, auf dessen Manipulator eine Fingerpuppe aus einem Analogon von Play-Doh- Plastilin verstärkt wurde .

Gesten-Daten wurden von 41 Personen gesammelt, die an dem Experiment teilnahmen und auf Anweisung der Tester verschiedene für das Android-System natürliche Aktionen ausführten, wobei eine Gestenbasis akkumuliert wurde (jede von ihnen reproduzierte 28 verschiedene Bewegungen).

Anschließend testeten die Forscher die beschriebenen Ansätze mit sieben verschiedenen Gesten, um Benutzer zu erkennen. Der erste Ansatz, bei dem durchschnittliche Gesten verwendet wurden, konnte in 70 Prozent der Fälle den am wenigsten zuverlässigen Algorithmus täuschen. In diesen Fällen stellte der Algorithmus fälschlicherweise fest, dass die Person, der das Smartphone gehört, das Gerät verwendet.

Als die Wissenschaftler in der zweiten Phase des Experiments Daten verwendeten, die von einem bestimmten Benutzer stammen, gelang es dem Roboter, was nicht überraschend ist, in 90% der Fälle Erkennungsalgorithmen zu täuschen.

Die Autoren der Studie kamen zu dem Schluss, dass Schutzunternehmen, da Angriffe dieser Art mit frei verfügbaren Geräten leicht durchzuführen sind, nicht nur Tests mit ähnlichen Robotern in die Überprüfung der Schutzzuverlässigkeit einbeziehen müssen, sondern auch daran arbeiten müssen, den Schutz selbst insgesamt zu verbessern.

Source: https://habr.com/ru/post/de394039/