'n Onlangse studie wat deur Tencent Labs e Zhejiang Universiteit (Via Piep rekenaar) het 'n nuwe tipe aanval aan die lig gebring, genaamd "BrutePrint aanval“, wat gebruik kan word om die vingerafdrukherkenningstelsel op Android- en iOS-slimfone te kraak. Hierdie aanval laat jou toe om beheer te neem van 'n ander persoon se mobiele toestel, sekuriteitsmaatreëls oorskry geïmplementeer op slimfone.
Hoe die BrutePrint-aanval gebruik kan word om die vingerafdrukherkenningstelsel op Android- en iOS-slimfone te hack
navorsers hulle het daarin geslaag om slimfoonverdediging, soos beperkings op die aantal vingerafdrukherkenningspogings, te ontduik deur twee nul-dag-kwesbaarhede, bekend as Kanselleer-na-wedstryd-misluk (CAMF) e Wedstryd-Na-Slot (MAL). Volgens die gepubliseerde tegniese dokument het geleerdes 'n leemte in die bestuur van vingerafdrukbiometriese data geïdentifiseer. Die inligting wat deur die SPI-koppelvlak gaan is onvoldoende beskerm, wat 'n man-in-die-middel-aanval (MITM) moontlik maak wat geskandeerde vingerafdrukbeelde op jou mobiele toestel kan kaap.
Die koppelvlak SPI (Serial Peripheral Interface) is 'n sinchrone seriële kommunikasieprotokol wat wyd in elektronika gebruik word. Hierdie protokol is in die 80's deur Motorola ontwikkel en is het 'n de facto standaard geword vir kommunikasie tussen digitale toestelle.
Lees ook: Xiaomi wil die ontsluiting van slimfone met vingerafdruk revolusioneer
BrutePrint- en SPI MITM-aanvalle getoets op tien gewilde slimfoonmodelle, wat gelei het tot onbeperkte vingerafdruk-aanmeldingspogings op alle toestelle Android e HarmonyOS (Huawei) en nog tien toestelpogings IOS. Die doel van BrutePrint is om 'n onbeperkte aantal vingerafdrukbeelde wat na die teikentoestel gestuur word uit te voer totdat die vingerafdruk as geldig erken word en gemagtig word om die foon te ontsluit.
Die BrutePrint-kwesbaarheid lê tussen die vingerafdruksensor en die Trusted Execution Environment (TEE). Hierdie aanval buit 'n fout uit om opsporingmeganismes te manipuleer. Deur 'n fout in die vingerafdrukdata in te voeg, sal die stawingsproses word abnormaal onderbreek, wat potensiële aanvallers toelaat om vingerafdrukke op die teikentoestel te toets sonder dat dit die aantal mislukte aanmeldpogings aanteken.
Met die eerste oogopslag lyk BrutePrint dalk nie na 'n formidabele aanval nie as gevolg van die behoefte aan langdurige toegang tot die toestel. Hierdie ding behoort egter nie die aandag van slimfooneienaars te verswak nie.
