Você pode concordar comigo que os leitores de impressões digitais cresceram em popularidade entre a maioria dos proprietários de smartphones Android. Quase todos os smartphones Android possuem um leitor de impressão digital. Na maioria dos casos, você encontrará leitores de impressão digital em três locais diferentes de smartphones Android. Temos scanners de impressão digital montados na lateral, na parte traseira e sob a tela. Independentemente de sua localização, todos eles servem a um propósito principal, que é a segurança.
Como cada ser humano na Terra tem uma impressão digital diferente, não há como negar que os leitores de impressão digital no smartphone devem ser uma das formas mais seguras de manter os dados privados longe de um terceiro olho. Na medida em que esta afirmação é válida, é realmente o caso? Os leitores de impressão digital em smartphones fornecem a melhor forma de segurança?
Bem, a resposta para isso pode depender de como você gostaria de desbloquear o telefone protegido por impressão digital. Se você está tentando desbloquear com uma impressão digital diferente que não está cadastrada no smartphone, com certeza você tem a melhor forma de proteção. E se você tentar desbloquear com uma ferramenta de hacking? Isso deve ser muito difícil de fazer certo? Mesmo que seja possível, então, essa ferramenta certamente deve custar uma fortuna. Caro o suficiente para agências de segurança do governo, como o FBI e o resto, poderem pagar para fins de investigação.
O fato é que existe uma nova ferramenta que pode romper a proteção de impressão digital do dispositivo Android, mas não custa uma fortuna. É uma ferramenta de $ 15 que faz toda a mágica.
Ferramentas de $ 15 quebram a proteção de scanners de impressão digital de smartphones
Nova pesquisa de Yu Chen da Tencent e Yiling da Universidade de Zhejiang Ele indicou que há dois vulnerabilidades desconhecidas em quase todos os smartphones. Essas vulnerabilidades estão localizadas no sistema de autenticação de impressão digital e são denominadas vulnerabilidades de dia zero. Aproveitando essas vulnerabilidades, eles podem lançar um ataque chamado ataque BrutePrint para desbloquear quase qualquer scanner de impressão digital de smartphone.
Para conseguir isso, eles usaram uma placa de circuito de $ 15 com um microcontrolador, interruptor analógico, cartão SD flash , e conector placa a placa. Tudo o que os atacantes precisam é passar 45 minutos com o telefone da vítima e, claro, o banco de dados de impressões digitais.
Scanners de impressões digitais de smartphones Android foram invadidos em 45 minutos
O pesquisador testou oito diferentes Smartphones Android e dois iPhones. Os telefones Android incluem Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G e Huawei P40. Os iPhones também incluem o iPhone SE e o iPhone 7.
Todas as proteções de impressão digital de smartphones têm um número limitado de tentativas, mas o ataque BrutePrint pode contornar essa limitação. Na verdade, os autenticadores de impressão digital não exigem a correspondência exata entre a entrada e os dados de impressão digital armazenados para funcionar. Em vez disso, ele usa o limite para determinar se a entrada está próxima o suficiente para ser uma correspondência. Isso significa que qualquer sistema malicioso pode tirar vantagem e tentar combinar os dados de impressão digital armazenados. Tudo o que eles precisam fazer é contornar o limite imposto às tentativas de impressão digital.
Gizchina Notícias da semana
Como os pesquisadores usaram a ferramenta de $ 15 para desbloquear leitores de impressão digital em smartphones
Para desbloquear os smartphones, tudo o que os pesquisadores precisavam fazer era remover a tampa traseira dos smartphones e anexou a placa de circuito de $ 15. Assim que o ataque começa, leva apenas menos de uma hora para desbloquear cada dispositivo. Depois que o dispositivo é desbloqueado, eles também podem usá-lo para autorizar pagamentos.
O tempo necessário para desbloquear cada telefone varia de um telefone para outro. Enquanto o Oppo por exemplo demorou cerca de 40 minutos a desbloquear, o Samsung Galaxy S10+ demorou cerca de 73 minutos a 2,9 horas a desbloquear. O smartphone Android mais difícil de desbloquear foi o Mi 11 Ultra. De acordo com os pesquisadores, demorou cerca de 2,78 a 13,89 horas para desbloqueá-lo.
O iPhone é bastante seguro
Ao tentar desbloquear o iPhone, os pesquisadores não conseguiram atingir seu objetivo. Isso realmente não significa que as impressões digitais do Android sejam mais fracas que as do iPhone. É principalmente porque a Apple criptografa os dados dos usuários no iPhone. Com dados criptografados, o ataque BrutePrint não consegue acessar o banco de dados de impressões digitais no iPhone. Devido a isso, não há como essa forma de ataque conseguir desbloquear as impressões digitais do iPhone.
Como os usuários de smartphones Android podem garantir a segurança de seus dados pessoais?
Como usuário final, há pouco que você possa fazer além de usar senhas e outras formas de proteção. No entanto, cabe aos desenvolvedores do Android tomar medidas extras para garantir a segurança dos dados do usuário. Em vista disso, os pesquisadores Yu Chen e Yiling fizeram algumas recomendações. Eles sugeriram que a equipe de desenvolvimento limitaria as tentativas de bypass. Eles também instaram o Google a criptografar todos os dados enviados entre o scanner de impressão digital e o chipset.
Conclusão
Você pode notar que os pesquisadores usaram smartphones antigos para o chamado ataque BrutePrint. Isso ocorre porque os smartphones Android modernos são mais seguros com permissões de aplicativos e dados de segurança de aplicativos mais rígidos. A julgar pelo método usado por esses pesquisadores, será muito difícil para o ataque BrutePrint conseguir penetrar na segurança moderna do Android.
Security Boulevard também garantiu que os usuários dos smartphones Android mais recentes não se preocupem. Isso ocorre porque o ataque BrutePrint pode não funcionar em smartphones Android que seguem os padrões mais recentes do Google.
Source/VIA: