DOI QR코드

DOI QR Code

Design of a Secure Keypads to prevent Smudge Attack using Fingerprint Erasing in Mobile Devices

모바일 단말기에서 지문 지우기를 활용한 스머지 공격 방지를 위한 보안 키패드 설계

  • Hyung-Jin, Mun (Dept. of Information & Communication Engineering, Sungkyul University)
  • 문형진 (성결대학교 정보통신공학과)
  • Received : 2022.12.28
  • Accepted : 2023.02.20
  • Published : 2023.02.28

Abstract

In the fintech environment, Smart phones are mainly used for various service. User authentication technology is required to use safe services. Authentication is performed by transmitting authentication information to the server when the PIN or password is entered and touch the button completing authentication. But A post-attack is possible because the smudge which is the trace of using screen remains instead of recording attack with a camera or SSA(Shoulder Surfing Attack). To prevent smudge attacks, users must erase their fingerprints after authentication. In this study, we proposed a technique to determine whether to erase fingerprints. The proposed method performed erasing fingerprint which is the trace of touching after entering PIN and designed the security keypads that processes instead of entering completion button automatically when determined whether the fingerprint has been erased or not. This method suggests action that must erase the fingerprint when entering password. By this method, A user must erase the fingerprint to complete service request and can block smudge attack.

핀테크 환경에서 다양한 서비스를 제공하기 위해 스마트 폰을 대표적으로 사용하고 있다. 또한, 스마트 폰에서의 안전한 서비스를 이용하기 위해 사용자 인증기술이 요구되고 있다. 인증하기 위해 PIN이나 패스워드를 입력하고 완료 버튼을 터치한 순간 서버에 인증정보를 전달하여 인증을 수행한다. 하지만 카메라 등을 이용한 레코딩 공격, 엿보기 공격이 아니더라도 터치스크린 사용 흔적인 스머지가 남게 되어 사후 공격이 가능하다. 스머지 공격을 차단하기 위해 사용자는 인증 후 사용자는 지문을 지워야 한다. 본 연구에서 지문 지우기 여부를 판단할 수 있는 기법을 제안하였다. 제안기법은 PIN를 입력한 다음에 터치한 흔적인 지문 지우기를 수행하고, 지우기 여부를 판단되면 자동으로 입력 완료 버튼 대신에 처리하는 보안 키패드를 설계하였다. 패스워드 입력시 반드시 지문을 지우는 동작을 요구하는 방식이다. 이 기법을 통해 사용자는 반드시 지문 지우기를 해야만 서비스 요청이 완료되어 스머지 공격을 차단할 수 있다.

Keywords

References

  1. B. S. Yu & S. H. Yun. (2011). The Design and Implementation of Messenger Authentication Protocol to Prevent Smartphone Phishing. Journal of the Korea Convergence Society, 2(4), 9-14. DOI : 10.15207/JKCS.2011.2.4.009
  2. D. Y. Kim & S. M. Cho (2015). A Proposal of Smart Phone App for Preventing Smishing Attack. Journal of Security Engineering, 12(3), 207-220. https://doi.org/10.14257/jse.2015.06.08
  3. S. H. Kim, M. S. Park. & S. J. Kim. (2014). Shoulder Surfing Attack Modeling and Security Analysis on Commercial Keypad Schemes. Journal of the Korea Institute of Information Security & Cryptology, 24(6), 1159-1174. DOI : 10.13089/JKIISC.2014.24.6.1159
  4. I. Y. Choi, J. H. Choi & W. Y. Lee. (2014). A Design and Implementation of a Solution for Real Detection of Information Leakage by Keylogging Attack. Journal of Korea Multimedia Society, 17(10), 1198-1204. DOI : 10.9717/KMMS.2014.17.10.1198
  5. C. J. Chae, H. J. Cho & H. M. Jung. (2018). Authentication Method using Multiple Biometric Information in FIDO Environment. Journal of Digital Convergence, 16(1), 159-164. DOI : 10.14400/JDC.2018.16.1.159
  6. J. S. Song, M. W. Chung, S. H. Seo & S. H. Lee. (2015). Security vulnerability analysis of Simple Mobile Payments Services. The Korea Information Processing Society Fall Conference, 22(2), 817-820. DOI : 10.3745/PKIPS.y2015m10a.817
  7. Y. S. Jeoung & D. M. Choi (2017). D-PASS: A Study on User Authentication Method for Smart Devices. The Journal of the Korea Institute of Electronic Communication Sciences, 12(5), 915-922. DOI : 10.13067/JKIECS.2017.12.5.915
  8. H. Lee & T. Kwon (2017). Fingerprint Smudge Attacks Based on Fingerprint Image Reconstruction on Smart Devices. Journal of the Korea Institute of Information Security & Cryptology, 27(2), 233-240. DOI : 10.13089/JKIISC.2017.27.2.233
  9. H. J. Mun, S. Y. Kang & C. Shin.. (2020). Implementation of Secure Keypads based on Tetris-Form Protection for Touch Position in the Fintech. Journal of Convergence for Information Technology, 10(8), 144-151. DOI : 10.22156/CS4SMB.2020.10.08.144
  10. J. Song, M. W. Jung, J. I. Choi & S.H. Seo (2018). Proposal and Implementation of Security Keypad with Dual Touch. KIPS Transactions on Computer and Communication Systems, 7(3), 73-80. DOI : 10.3745/KTCCS.2018.7.3.73
  11. H. J. Mun (2022). Design for Position Protection Secure Keypads based on Double-Touch using Grouping in the Fintech. Journal of Convergence for Information Technology, 12(3), 38-45. DOI : 10.22156/CS4SMB.2022.12.03.038
  12. H. J. Mun (2018). Biometric Information and OTP based on Authentication Mechanism using Blockchain. Journal of Convergence for Information Technology, 8(3), 85-90. DOI : 10.22156/CS4SMB.2018.8.3.085
  13. H. J. Mun. (2022). 1.5-factor Authentication Method using Secure Keypads and Biometric Authentication in the Fintech. Journal of Industrial Convergence, 20(11), 191-196. DOI : 10.22678/JIC.2022.20.11.191