[pg_youtube_advanced url=”https://youtu.be/tj2Ty7WkGqk” autohide=”yes” rel=”no” https=”yes”]
PUGAM.com – Hanya dibutuhkan waktu 5 menit untuk memalsukan sidik jari dan meretas ponsel seseorang. Hal tersebut telah berbulan-bulan diperagakan oleh perusahaan biometrik, Vkansee, pada sebuah pameran perdagangan dengan hanya menggunakan pasta gigi sebagai bahan cetakan sidik jari, serta lilin mainan cetak (malam) untuk mencetaknya.
Namun, cara itu merupakan salah satu cara untuk melewati pemindai sidik jari yang primitif. Kini, Para peneliti di CITER telah melakukan trik serupa dengan menggunakan cetakan 3D dari gambar sidik jari yang telah disimpan ketimbang jari nyata. Jika kemudian cetakan tersebut dibuat dengan bahan karet, maka Anda bisa memakai cetakan tersebut secara permanen, dan menipu semua sistem pembaca sidik jari pada smartphone.
Pada konferensi CCC tahun 2014, seorang peneliti keamanan yang disebut Starbug menggunakan teknik tersebut untuk membangun sebuah model kerja dari sidik jari menteri pertahanan Jerman, berdasarkan foto resolusi tinggi dari tangan sang menteri.
Pembaca sidik jari sekarang merupakan bagian penting dari sebuah smartphone modern, dan dalam kebanyakan kasus, mereka membuat aplikasi menjadi lebih aman. Sebagian besar pembaca biometrik bekerja dengan hardware yang terisolasi dan a zero-knowledge proof, sehingga menangkap data ketika transit tidak cukup untuk menipu login. Jika Anda ingin membobol masuk, Anda perlu sidik jari itu sendiri.
Kabar buruknya adalah, sidik jari masih bisa dicuri. Dan tidak seperti kode sandi, Anda tidak dapat mengubah sidik jari Anda, sehingga pencurian tunggal sidik jari dapat menciptakan kerentanan seumur hidup. Apa yang seharusnya merupakan sebuah upgrade keamanan ternyata berubah menjadi sesuatu yang jauh lebih kompleks.
Seperti halnya pada Kasus San Bernardino, dimana para agen pemerintah berupaya untuk membuka sebuah iPhone yang terkait dengan penembakan massal. Sayangnya, ponsel tersebut adalah iPhone 5C, iPhone terakhir yang dibuat tanpa pembaca sidik jari.
Sangatlah mudah bagi penyidik untuk meretas ponsel tersebut andaikan ponsel yang dimiliki oleh Farook ini lebih baru, dimana pada saat itu FBI memiliki mayat Farook, sehingga mereka cukup membawa ponsel tersebut ke kamar mayat dan menempatkan jarinya pada pad TouchID.
Hal tersebut bahkan memungkinkan ketika subjek masih hidup dan tidak kooperatif. Pada sebuah kasus baru-baru ini di Los Angeles, seorang hakim mengeluarkan surat perintah untuk memaksa seorang wanita menempelkan jarinya ke ponsel yang disita untuk membukanya, atas tuduhan pencurian identitas yang dijatuhkan padanya.
Jika saja sidik jari wanita itu telah berada pada salah satu database pemerintah federal, perintah tersebut mungkin tidak diperlukan. Cetakan 3D dapat merubah semua gambar sidik jari tersebut menjadi sebuah model kerja, dan polisi memiliki semakin banyak gambar untuk memilihnya.
Pihak Keamanan Dalam Negeri AS memiliki kebijakan untuk mengumpulkan sidik jari dari warga non-AS antara usia 14 dan 79 saat mereka memasuki negara itu, bersamaan dengan meningkatnya jumlah sidik jari yang diambil dari imigran gelap yang ditangkap oleh Bea dan Patroli Perbatasan.
FBI menyimpan database IAFIS yang terpisah dengan lebih dari 100 juta rekaman sidik jari, termasuk 34 juta “cetak sipil” yang tidak berhubungan dengan file kriminal. Sementara itu, Departemen Pertahanan menyimpan database ketiga dengan lebih banyak lagi sidik jari yang dikumpulkan oleh perwira militer di seluruh dunia. Catatan-catatan tersebut biasanya digunakan untuk verifikasi, namun tidak ada alasan mereka tidak dapat digunakan untuk memicu pembaca sidik jari juga.
Disaat pengumpulan sidik jari menjadi lebih umum, sidik jari menjadi salah satu bentuk data yang mudah bocor, seperti halnya password, kartu kredit, dan nomor jaminan sosial. Kita sudah melihat hal itu terjadi ketika peretasan OPM yang memiliki sidik jari dari 14 juta pekerja federal. Pencurian credential yang sama juga dapat terjadi pada skala yang lebih kecil, seperti mengambil sidik jari dari furniture atau bahkan dari foto resolusi tinggi.
Untuk penyerang yang benar-benar berupaya keras, sebuah sidik jari sangatlah mudah untuk dicuri daripada password: sidik jari tersedia pada tubuh Anda setiap saat, dan Anda memberikannya setiap kali Anda menyentuh permukaan yang datar. Dan sekali seseorang memiliki gambar cetak tersebut, membuat modelnya adalah hal sepele. Printer 3D mudah untuk ditemukan, dan beberapa pakar keamanan sudah menemukan metode lain untuk memalsukan cetakan.
Bahkan dengan pembaca sidik jari pada kebanyakan ponsel, biometrik masih bukan merupakan cara utama untuk masuk pada perangkat. Analis memperkirakan kurang dari 15% login iPhone terjadi melalui sensor TouchID, dan banyak ponsel tidak memiliki pemindai sidik jari. Untuk ponsel-ponsel tersebut, stockpile sidik jari pemerintah tidak berguna secara efektif. Tetapi bagi pengguna yang telah login atau menginput sidik jari mereka, hal itu memberikan polisi cara yang mudah untuk masuk. Seperti yang ditunjukkan pada kasus Los Angeles di atas.
Hal itu bukan hanya masalah bagi para penjahat, tapi untuk biometrik pada umumnya. Sidik jari tidak akan pernah menjadi hal yang pribadi selama agen-agen federal mengumpulkannya secara besar-besaran, yang berarti mereka tidak akan pernah benar-benar aman. Setelah dikumpulkan, sidik jari dapat terkuak dalam sebuah peretasan, seperti yang telah ditunjukkan pada peretasan OPM.
Bagi siapa pun yang berharap pembaca sidik jari akan mengantar pada era baru keamanan mobile, itu merupakan sebuah berita buruk. Sidik jari dapat menjadi password pribadi atau dapat menjadi ID pemerintah, tetapi tidak bisa keduanya. Dalam hal ini, pemerintah mungkin sudah memilihkannya untuk kita.