Sårbarhed fundet i Android og HarmonyOS for at omgå fingeraftryksscanneren
Miscellanea / / May 23, 2023
iPhones er beskyttet mod sådanne angreb.
kinesiske opdagelsesrejsende opdagetat mange Android-smartphones er sårbare over for brud på fingeraftrykssikkerheden. Ny metode brute force angreb kaldet BrutePrint.
BrutePrint udnytter to nul-dages sårbarheder for at øge antallet af fingeraftryksloginforsøg finger til uendeligt, mens smartphone normalt beder om en adgangskode efter flere mislykkede forsøg.
Udnyttelsen blev bekræftet på seks populære Android-smartphones, inklusive Xiaomi Mi 11 Ultra og OnePlus 7 Pro, samt Huawei P40 på HarmonyOS og iPhone med en fingeraftryksscanner. Hvis det i tilfælde af Android og HarmonyOS var muligt at få et uendeligt antal loginforsøg ved hjælp af en scanner, så kan denne metode på iPhone kun øge antallet af forsøg til 15 i stedet for de sædvanlige 5. Det er ikke nok til et hack.
Efter at have modtaget endeløse forsøg fører en simpel enhed med to boards og en manipulator fingeraftryksbilleder fra baser til smartphonen. De behandles, så smartphonesystemet betragter dem som billeder fra scanneren og tjekker med sin database. I nogle tilfælde har forskere endda været i stand til at manipulere den falske positive afskæringsværdi for at fremskynde tilpasningen.
Det bemærkes, at for hacking skal en angriber have fysisk adgang til enheden såvel som fingeraftryksdatabaser (fra åbne akademiske kilder eller biometriske datalæk). Det nødvendige udstyr til udnyttelsen er billigt: det kan samles for omkring $15.
Hacking tager dog også meget tid: Fra 2,9 til 13,9 timer, hvis brugeren kun har registreret én finger til scanning. Jo flere fingeraftryk der er i smartphonens hukommelse, jo hurtigere kører BrutePrint: Det kan tage mindre end en time at hacke.
Brugen af sådanne hacking-systemer er endnu ikke blevet rapporteret. Selvom det er usandsynligt, at de fleste brugere er målet for sådanne angreb, kan denne teknologi være farlig for stjålne enheder, der ikke er aktiveret til Lost Mode.