Biometrinen todentaminen saattaa olla metaversumin tietoturvan Akilleen kantapää

Trend Micron tutkimus varoittaa saumattoman kirjautumisen vaaroista

Trend Micro julkaisee uuden Leaked Today, Exploited for Life - How Social Media Biometric Patterns Affect Your Future -tutkimuksen. Se varoittaa vuotaneen biometrisen datan aiheuttamasta vakavasta uhasta henkilöiden luotettavalle todentamiselle digitaalisessa maailmassa, myös metaversumissa.

Biometrisillä teknologioilla on tänään paljon suurempi merkitys arkipäivässämme kuin vielä vuosikymmen sitten. Nykyään biometriä tekniikoita käytetään mitä erilaisimmissa jokapäiväisissä tilanteissa. Näitä ovat esimerkiksi passintarkastus rajatarkastusautomaatissa, pankkitilin käyttölukituksen avaaminen, käteisen nostaminen pankkiautomaatista tai julkisen liikenteen matkalipun maksaminen biometrisellä anturilla.

– Biometrisiä ratkaisuja ylistetään joskus vanhempia menetelmiä turvallisemmaksi, perinteisten salasalojen helpommaksi vaihtoehdoksi, kertoo Trend Micron kyberturva-asiantuntija Kalle Salminen. Mutta toisin kuin salasanoja, emme voi muuttaa ulkomuotoamme ja -näköämme noin vain. Niinpä biometrisen datan vuotaminen verkkorikollisille saattaa aiheuttaa kauaskantoisia seuraamuksia niiden käyttäjille. Esimerkiksi käyttäjän metaversumi-profiilin sieppaaminen saattaa pahimmillaan tarjota täyden pääsyn heidän tietokoneelleen ja sen sisältämiin tietoihin.

Rikollisille sosiaalinen media on tehokas tapa hankkia biometristä dataa

Sosiaalinen media antaa meille upeita yhteydenpitomahdollisuuksia ystäviimme ja sukulaisiimme. Joillekin se on myös tapa nousta kuuluisuuteen. Jaamme kokemuksiamme valokuvien, videoiden ja äänitallenteiden kautta. Mutta jakaessamme paloja elämästämme paljastamme samalla biometrisiä käyttäytymismallejamme. Esimerkiksi Instagramissa on lähes 10 miljoonaa julkaisua, jotka käyttävät #EyeMakeup-hashtagia ja #EyeChallenge hashtagin sisältäviä videoita on katsottu TikTokissa yli kaksi miljardia kertaa. Molemmat hashtagit paljastavat kuvia ja videoita julkaisseiden henkilöiden silmien yksilölliset iiriskuviot, joita voidaan käyttää tämän tunnistamiseen.

Sosiaalisesta mediasta kerättyä dataa voidaan käyttää myös identiteettivarkauksiin, valtiolliseen tiedusteluun tai deepfake-kuvien ja -videoiden luomiseen, erityisesti julkisuuden henkilöistä. Vaikka biometrisen datan rikollinen hyödyntäminen on ollut toistaiseksi vähäistä, niin kynnys siihen laskee jatkuvasti. Väärinkäytösten mahdollisuus ja laajuus kasvavat vääjäämättä ajan myötä.

Biometrinen data on avain kyberrikollisten metaversumiin

Trend Micro määrittelee metaversumin seuraavasti: ”pilvipohjainen, hajautettu, usean palveluntarjoavan mukaansatempaava vuorovaikutteinen ympäristö, jota voidaan käyttää monien erilaisten verkkoon liitettyjen laitteiden kautta.”

Jonain toisena henkilönä esiintyvät verkkorikolliset voivat onnistuessaan päästä käsiksi tämän kaikkiin verkkopalveluihin ja -järjestelmiin, käyttämään näiden verkkopankkitunnuksia, tekemään kryptovaluuttakauppoja ja hyödyntämään yrityksen verkosta löytyviä luottamuksellisia tietoja. Metaversumin käyttäjäprofiilit voivat olla myös houkutteleva maalitaulu arvokkaan biometrisen datan lähteenä. Esimerkiksi käyttäjän todellisen olemuksen mukaiset 3D-hahmomallit voivat olla arvokas lisä täydentämään silmien iiriksestä ja kasvokuvista kertyvää dataa.

Biometrinen data tuokin mukanaan aivan uudenlaisia haasteita. Salasana on helppo vaihtaa, mutta biometristä dataa ei muutetakaan noin vain, vaikka ne vuotaisivatkin verkkorikollisten haltuun. Joissakin tapauksissa ihmiset paljastavat biometristä dataansa tarkoituksellisesti, mutta sen tahaton julkaiseminen tai vuotaminen on paljon vaarallisempaa. Tällöin vääriin käsien joutuvaa dataa saatetaan hyödyntää paljon suuremman mittakaavan rikoksissa.

Trend Micro pyrkii tämän raportin avulla luomaan uutta vuoropuhelua IT- ja tietoturvayhteisössä, ja auttaa näitä kehittämään keinoja potentiaalisten uhkatekijöiden eliminoimiseksi. Valtava määrä biometristä dataa, joka sisältää muun muassa kasvojen, iiriksen, kämmenten ja sormenjälkien tunnistustietoja, vuotaa jatkuvasti verkossa niin hyvälaatuisena, että sitä voidaan käyttää tunnistusjärjestelmien huijaamiseen.

Tulevaisuuden uhkatoimijat saattavat hyvinkin käyttää varastettuja tai vuotanutta biometristä dataa yhdistettyjä laitteiden, kuten VR/AR-lasien, huijaamiseen ja niiden käyttämiin palveluihin sisäänkirjautumiseen. Tämä voi avata ovet tietovarkauksille, petoksille, kiristykselle ja muille ilkitöille.

Lisätietoja Trend Micron raportissa, jonka voit lukea täältä: https://www.trendmicro.com/vinfo/fi/security/news/internet-of-things/leaked-today-exploited-for-life-how-social-media-biometric-patterns-affect-your-future