Een gummy bear hack is een poging om een biometrische vingerafdrukscanner te misleiden door een snoepje op basis van gelatine te gebruiken om een vingerafdruk vast te houden.
Low-end optische vingerafdrukscanners kunnen vaak worden misleid met een eenvoudige afbeelding van een vingerafdruk, terwijl meer geavanceerde apparaten controleren op kenmerken zoals elektrische stroom en bloedstroom. Het blijkt echter dat de capaciteit van gelatine vergelijkbaar is met die van een menselijke vinger. Als een vingerafdruk op basis van gelatine aan een levende vinger wordt bevestigd, kan de methode ook die vingerscanners voor de gek houden, omdat het apparaat die kenmerken door de doorzichtige gelatine heen zou detecteren.
Het idee achter de gummibeer-hack stamt uit 2002 en is afkomstig uit onderzoek onder leiding van de Japanse cryptograaf Tsutomu Matsumoto. Matsumoto en zijn team gebruikten doorzichtige gelatine om kunstmatige vingers te maken die ze vervolgens gebruikten om vingerafdrukscanners om de tuin te leiden. De vinger op basis van gelatine slaagde erin om alle 11 geteste apparaten te misleiden. Beveiligingsexpert Bruce Schneier schreef over het experiment in de Crypto-Gram dat gelatine "dezelfde substantie is als gummiberen."
Toen sommige Australische scholen in 2010 vingerafdrukscanners gingen gebruiken om in te loggen, verschenen er berichten in de media waarin werd gesuggereerd dat leerlingen het systeem konden misleiden met gummiberen. De voorgestelde methode was eenvoudig: druk je vingerafdruk in een gummibeertje en laat een medeplichtige het gummibeertje over zijn eigen vinger leggen om je aanwezigheid te registreren. Hoewel er veel berichten zijn dat gummibeertjes op deze manier kunnen worden gebruikt, zijn er geen berichten dat iemand dit ook daadwerkelijk heeft gedaan.
Een groep studenten van het programma Information Technology Leadership van Washington & Jefferson College probeerde de theorie te testen. De studenten maakten afgietsels van vingerafdrukken met verschillende stoffen, waaronder gummibeertjes, boetseerklei, Play-Doh en Silly Putty, en testten de afgietsels met de vingerafdruklezer van Microsoft en een biometrisch beveiligingsapparaat van APC. Sommige stoffen hielden de vingerafdrukken beter vast dan andere, maar de gummibeertjes waren niet succesvol. Uit het verslag van de klas:
Niemand van ons kreeg een vingerafdruk van een gummibeertje, noch op de vlakke achterkant, noch door het gummibeertje open te scheuren en te proberen een afdruk te maken op de zachtere binnenkant. De theorie was dat een gummibeertje van superieure kwaliteit, in plaats van het generieke merk, of een gummisnoepje met een groot oppervlak misschien beter zou werken. Maar voor de rest van het experiment werden de gummibeertjes gewoon een vorm van voedsel.
Lees meer:
Het oorspronkelijke onderzoeksrapport is "Impact of Artificial 'Gummy' Fingers on Fingerprint Systems.”
Here’s the report from the students at Washington and Jefferson College.
ZDNet Australia reported on a "Sweet bypass for student fingerprint scanner."
See how gelatin can be used to successfully defeat a fingerprint scanner in this Mythbusters video.