En fersk studie utført av Tencent Labs e Zhejiang University (Via BeepingComputer) brakte frem i lyset en ny type angrep, kalt "BrutePrint-angrep", som kan brukes til å knekke fingeravtrykkgjenkjenningssystemet på Android- og iOS-smarttelefoner. Dette angrepet lar deg ta kontroll over en annen persons mobile enhet, overskrider sikkerhetstiltak implementert på smarttelefoner.
Hvordan BrutePrint-angrepet kan brukes til å hacke fingeravtrykksgjenkjenningssystemet på Android- og iOS-smarttelefoner
forskere de lyktes å unngå smarttelefonforsvar, for eksempel grenser for antall forsøk på fingeravtrykkgjenkjenning, ved å utnytte to nulldagers sårbarheter, kjent som Avbryt-Etter-Match-Fail (CAMF) e Match-After-Lock (MAL). I følge det publiserte tekniske dokumentet har forskere identifisert et gap i håndteringen av biometriske fingeravtrykksdata. Informasjonen som går gjennom SPI-grensesnittet er utilstrekkelig beskyttet, som muliggjør et man-in-the-middle (MITM)-angrep som kan kapre skannede fingeravtrykkbilder på mobilenheten din.
Grensesnittet SPI (Serial Peripheral Interface) er en synkron seriell kommunikasjonsprotokoll som er mye brukt i elektronikk. Denne protokollen ble utviklet av Motorola på 80-tallet og er har blitt en de facto standard for kommunikasjon mellom digitale enheter.
Les også: Xiaomi ønsker å revolusjonere smarttelefonopplåsing med fingeravtrykk
BrutePrint og SPI MITM-angrep testet på ti populære smarttelefonmodeller, noe som resulterer i ubegrensede fingeravtrykkpåloggingsforsøk på tvers av alle enheter Android e HarmonyOS (Huawei) og ti flere enhetsforsøk iOS. Målet med BrutePrint er å utføre et ubegrenset antall fingeravtrykksbilder som sendes til målenheten til fingeravtrykket blir gjenkjent som gyldig og autorisert til å låse opp telefonen.
BrutePrint-sårbarheten ligger mellom fingeravtrykksensoren og Trusted Execution Environment (TEE). Dette angrepet utnytter en feil for å manipulere deteksjonsmekanismer. Ved å sette inn en feil i fingeravtrykkdataene, kan autentiseringsprosessen avsluttes unormalt, slik at potensielle angripere kan teste fingeravtrykk på målenheten uten at den registrerer antall mislykkede påloggingsforsøk.
Ved første øyekast kan BrutePrint ikke virke som et formidabelt angrep på grunn av behov for langvarig tilgang til enheten. Denne tingen bør imidlertid ikke svekke oppmerksomheten til smarttelefoneiere.
