دراسة أميركية أرجعت السبب إلى اعتمادها على التقاط «بصمة جزئية غير كاملة»
نظم بصمات الأصابع في الهواتف الذكية قابلة للاخـــتراق بـ «بصمة عامة رقمية»
نظم التحقق من الهوية في معظم الهواتف تعتمد على بصمات تلتقطها مستشعرات تمسح الإصبع بطريقة تنتج عنها بصمة جزئية. من المصدر
أثبتت نتائج دراسة علمية حديثة أن المقولة السائدة عن أن بصمة أصابع اليد لأي شخص متفردة ولا تتكرر مع أي شخص آخر، هي مقولة لا تنطبق كلياً على نظم بصمات الأصابع العاملة مع الهواتف الذكية والأجهزة المحمولة الأخرى، لأن البصمات التي تخزنها وتعمل بها هذه النظم قابلة بالفعل لأن تنخدع في بصمات أخرى مولدة رقمياً، وليست لأشخاص حقيقيين على الإطلاق، حيث يعود ذلك بالأساس إلى أن هذه النظم تستخدم «البصمات الجزئية للأصابع»، وليس البصمات الكاملة، ما يجعل البصمة المخزنة تفقد الكثير من السمات التي تجعلها متفردة، وبالتالي يصبح بالإمكان بناء «بصمة عامة رئيسة» لمجموعة من الأشخاص، على غرار مفهوم «المفتاح العام الذي يعمل مع مجموعة من الأقفال المختلفة بالكثير من الغرف». ويمكن مضاهاة البصمة العامة بنجاح مع الكثير من البصمات الجزئية الخاصة بعدد كبير من المستخدمين، والمخزنة بهواتفهم وأجهزتهم المختلفة، لتتعرف إليها النظم العاملة على أنها البصمة الحقيقية لأصحابها.
نقاط الضعف
|
فريق الدراسة أعد الدراسة فريق مشترك من الباحثين في كليتي الهندسة وعلوم الحاسب بجامعتي نيويورك وولاية ميتشغان، برئاسة أستاذ الهندسة وعلوم الحاسب بكلية «تاندون» للهندسة بجامعة نيويورك، الدكتور ناصر ميمون، وضم الدكتورة أديتي روي من جامعة نيويورك، والدكتور أرون روس من جامعة ميتشغان.
- الدراسة نجحت في عمليات مضاهاة وتحقق من الهوية لما يراوح بين 26 و65% من المستخدمين. - احتمالات نجاح البصمة الرقمية ترتفع مع زيادة عدد اللقطات المخزنة بالهاتف. 92 شخصاً من بين 800 يمكن مضاهاة بصماتهم الجزئية بنجاح بالبصمة المولدة رقمياً. |
ومولت هذه الدراسة المؤسسة القومية الأميركية للعلوم، ونشرت كورقة بحثية أكاديمية على موقع المعهد الأميركي لمهندسي الكهرباء والإلكترونيات ieeexplore.ieee.org بعنوان «البصمة العامة.. استكشاف نقاط الضعف في نظم التحقق من الهوية المعتمدة على بصمات الأصابع الجزئية».
وفي هذه الورقة شرح الفريق البحثي الجوانب المختلفة لدراستهم، موضحاً أنه لا يوجد بالفعل اثنان من البشر لديهم بصمات أصابع كاملة متطابقة تماماً، لكن أوجه التشابه في أجزاء من البصمات أو في البصمات غير الكاملة كافية لأن تخفض كثيراً من مستوى تفرد البصمة، ما يجعلها قابلة للتشابه والتكرار بدرجة أكبر، وبالتالي يكون هناك مستوى تشابه بين البصمات الجزئية لأصابع الكثير من الأشخاص.
وأضاف الفريق أنه بناء على هذا التشابه يكون ممكناً طرح فرضية تكوين «بصمة عامة» قابلة لأن تتطابق مع العديد من البصمات الجزئية المأخوذة من العديد من الأشخاص، وهو مفهوم أقرب مثال توضيحي له هو «المفتاح العام للغرف»، المستخدم في الفنادق والمؤسسات التي بها كثير من الغرف، ويتم إعداد أقفالها بحيث تفتح بمفاتيح مختلفة، وفي الوقت نفسه بمفتاح عام يمكنه فتحها جميعاً.
بصمة جزئية
وأشار الفريق إلى أنه وضع تلك الفرضية محوراً لدراسته، مبيناً أن السبب في ذلك يعود إلى أن نظم المصادقة والتحقق من الهوية الموجودة بمعظم، إن لم تكن بالغالبية الساحقة من الأجهزة المحمولة الحالية، تعتمد على بصمات أصابع تلتقطها مستشعرات صغيرة لا تقوم بالتقاط صورة كاملة لبصمة الأصبع كما هي في الحقيقة، وإنما تقوم بمسح الإصبع بطريقة تنتج عنها بصمة جزئية فاقدة للعديد من السمات والخصائص المميزة المطلوبة لجعلها بصمة فريدة غير متكررة.
وذكر أن بعض الهواتف تسمح للمستخدمين بتمرير أصابع عدة في نظام المصادقة، والتحقق من الهوية الموجود بها، إذ يتم تأكيد الهوية حينما تطابق بصمات أصابع المستخدم أي واحدة من البصمات الجزئية المحفوظة، مشيراً إلى أن نظم التأمين المعتمدة على بصمات الأصابع الجزئية في الهواتف المحمولة والحاسبات المحمولة وغيرها من الأجهزة الإلكترونية العاملة بالكهرباء يمكن أن تصبح عرضة لخطر الخداع والاختراق بأكثر مما كان يعتقد سابقاً، لاسيما إذا ما صحت فرضية «البصمة العامة»، وأمكن التوصل إليها بالفعل.
بصمة عامة
وكان فريق البحث استهدف معرفة ما إذا كان بإمكانه العثور على بصمة رئيسة عامة تستطيع الكشف عن مستوى مماثل من نقاط الضعف في بصمات الأصابع الجزئية، وفي النهاية تبين أن هناك بعض السمات في أنماط بصمات أصابع البشر يمكن أن تكون شائعة بدرجة كافية لإثارة المخاوف الأمنية.
وقال أعضاء الفريق في ورقتهم البحثية إنهم «أجروا تحليلات وفقاً لفرضية البصمة العامة على 8200 بصمة أصابع جزئية، تم الحصول عليها باستخدام برمجيات تجارية للتعرف إلى البصمات، من النوع المستخدم في الهواتف المحمولة والأجهزة الإلكترونية المحمولة الأخرى»، لافتين إلى أنهم «عملوا بعد ذلك على تحليل سمات البصمة الرئيسة العامة الملغاة من صور حقيقية لبصمة الأصبع الجزئية، ثم بنوا نموذجاً رياضياً لتكوين بصمة اصطناعية جزئية، تعمل كبصمة عامة».
مطابقة أوسع
وخلال التجارب أجرى الفريق خمس محاولات لكل عملية مصادقة كحد أقصى، وبنهاية التحليل تبين أن البصمة الجزئية الاصطناعية العامة لديها إمكانات مطابقة أوسع، فعند استخدام هذه البصمات العامة المعتمدة على المحاكاة الرقمية، تبين أن كل مجموعة مختارة عشوائياً ومكونة من 800 بصمة، تضم نحو 92 بصمة تحمل إمكانية أن تتشكل منها بصمة عامة رئيسة تصلح معهم جميعاً. وحدد الفريق البصمة الرئيسة العامة بأنها البصمة التي تستطيع العمل بنجاح مع 4% على الأقل من البصمات الأخرى التي تضمها كل مجموعة بصمات عشوائية.
وعند استخدام البصمات الكاملة، وجد الفريق أنه يمكن بناء بصمة عامة تعمل مع واحدة فقط من بين كل 800 بصمة يتم اختيارها عشوائياً، أي أن الرقم ينخفض من 92 بصمة في حالة البصمات الجزئية، إلى بصمة واحدة في حالة البصمات الكاملة، وهذا ليس مدهشاً أو مفاجئاً، لأن البصمات الكاملة يرتفع فيها مستوى التفرد مقارنة بالبصمات الجزئية.
وفي النهاية استطاع الفريق بنجاح تنفيذ عمليات مضاهاة وتحقق من الهوية لما يراوح بين 26 و65% من المستخدمين، وكانت النسبة تتأرجح صعوداً وهبوطاً اعتماداً على عدد البصمات الجزئية التي تم تخزينها لكل مستخدم. وكشفت التحليلات أنه كلما كان هناك عدد أكبر من البصمات الجزئية للشخص الواحد كانت فرص البصمة العامة في النجاح أعلى.
خداع النظم
وأكد الفريق البحثي أن الهواتف الذكية وغيرها من الأجهزة المحمولة الأخرى المستخدمة حالياً تقوم عادة بالتقاط جزء من البصمة الكاملة، باستخدام مستشعرات صغيرة، وعلاوة على ذلك فإن الأجزاء المتعددة من البصمات الجزئية يتم التقاطها للإصبع نفسها خلال عملية التمرير، مشيراً إلى أن صور البصمات المسجلة بأي هاتف أو جهاز محمول آخر يمكن أن تظهر مجموعة من البصمات الجزئية المستخلصة من البصمة الكاملة. ولذلك خلص الفريق إلى أن فرصة نجاح مفهوم «البصمة العامة» في خداع نظم التحقق من الهوية والمصادقة العاملة على الهواتف الذكية والأجهزة المحمولة الأخرى الحالية قائمة وأكثر ترجيحاً.