Sårbarhet funnet i Android og HarmonyOS for å omgå fingeravtrykkskanneren
Miscellanea / / May 23, 2023
iPhone er beskyttet mot slike angrep.
kinesiske oppdagere oppdagetat mange Android-smarttelefoner er sårbare for sikkerhetsbrudd med fingeravtrykk. Ny metode brute force angrep kalt BrutePrint.
BrutePrint utnytter to nulldagssårbarheter for å øke forsøk på pålogging med fingeravtrykk finger til uendelig, mens smarttelefonen vanligvis ber om et passord etter flere mislykkede forsøk.
Utnyttelsen ble bekreftet på seks populære Android-smarttelefoner, inkludert Xiaomi Mi 11 Ultra og OnePlus 7 Pro, samt Huawei P40 på HarmonyOS og iPhone med fingeravtrykkskanner. Hvis det i tilfelle av Android og HarmonyOS var mulig å få et uendelig antall påloggingsforsøk ved hjelp av en skanner, kan denne metoden på iPhone bare øke antall forsøk til 15 i stedet for de vanlige 5. Det er ikke nok for et hack.
Etter å ha mottatt uendelige forsøk, mater en enkel enhet med to brett og en manipulator fingeravtrykksbilder fra baser til smarttelefonen. De behandles slik at smarttelefonsystemet betrakter dem som bilder fra skanneren og sjekker med sin database. I noen tilfeller har forskere til og med vært i stand til å manipulere den falske positive grenseverdien for å øke hastigheten på tilpasningen.
Det bemerkes at for hacking trenger en angriper fysisk tilgang til enheten, samt fingeravtrykkdatabaser (fra åpne akademiske kilder eller biometriske datalekkasjer). Utstyret som kreves for utnyttelsen er billig: det kan settes sammen for rundt $15.
Hacking tar imidlertid også mye tid: fra 2,9 til 13,9 timer hvis brukeren har registrert kun én finger for skanning. Jo flere fingeravtrykk det er i smarttelefonens minne, jo raskere kjører BrutePrint: det kan ta mindre enn en time å hacke.
Bruken av slike hackingsystemer er ennå ikke rapportert. Selv om de fleste brukere neppe er målet for slike angrep, kan denne teknologien være farlig for stjålne enheter som ikke er aktivert for Lost Mode.