Sie stimmen mir vielleicht zu, dass Fingerabdruckscanner bei den meisten Besitzern von Android-Smartphones immer beliebter werden. Fast jedes einzelne Android-Smartphone verfügt über einen Fingerabdruckscanner. In den meisten Fällen finden Sie Fingerabdruckscanner an drei verschiedenen Standorten von Android-Smartphones. Wir verfügen über seitlich angebrachte Fingerabdruckscanner, rückseitig angebrachte und unter dem Display angebrachte Fingerabdruckscanner. Unabhängig vom Standort dienen sie alle einem Hauptzweck: der Sicherheit.
Da jeder Mensch auf der Erde einen anderen Fingerabdruck hat, lässt sich nicht leugnen, dass Fingerabdruckscanner auf Smartphones eine der sichersten Methoden sein sollten private Daten von einem dritten Auge fernzuhalten. Soweit diese Aussage zutreffend ist, ist das wirklich der Fall? Bieten Fingerabdruckscanner auf Smartphones die beste Sicherheit?
Die Antwort darauf hängt möglicherweise davon ab, wie Sie das durch Fingerabdrücke geschützte Telefon entsperren möchten. Wenn Sie versuchen, mit einem anderen Fingerabdruck zu entsperren, der nicht auf dem Smartphone registriert ist, dann haben Sie mit Sicherheit den besten Schutz. Was passiert, wenn Sie versuchen, die Sperre mit einem Hacking-Tool zu entsperren? Das sollte ziemlich schwierig sein, oder? Selbst wenn es möglich ist, sollte dieses Werkzeug sicherlich ein Vermögen kosten. Teuer genug für staatliche Sicherheitsbehörden wie das FBI und den Rest, um es sich für Ermittlungszwecke leisten zu können.
Tatsache ist, dass es ein neues Tool gibt, das den Fingerabdruckschutz von Android-Geräten durchbrechen kann, aber kein Vermögen kostet. Es ist ein 15-Dollar-Werkzeug, das die ganze Magie vollbringt.
Ein 15-Dollar-Werkzeug bricht den Schutz von Fingerabdruckscannern bei Smartphones
Neue Untersuchungen von Yu Chen von Tencent und Yiling von der Zhejiang-Universität. Er hat darauf hingewiesen, dass es zwei davon gibt unbekannte Schwachstellen in fast allen Smartphones. Diese Schwachstellen liegen im Fingerabdruck-Authentifizierungssystem und werden als Zero-Day-Schwachstellen bezeichnet. Indem sie diese Schwachstellen ausnutzen, können sie einen Angriff namens BrutePrint-Angriff starten, um fast jeden Smartphone-Fingerabdruckscanner zu entsperren.
Um dies zu erreichen, verwendeten sie eine 15-Dollar-Platine mit einem Mikrocontroller, einem Analogschalter und einer SD-Flash-Karte und Board-to-Board-Anschluss. Alles, was die Angreifer brauchen, ist, 45 Minuten mit dem Telefon des Opfers und natürlich mit der Fingerabdruckdatenbank zu verbringen.
Fingerabdruckscanner von Android-Smartphones wurden innerhalb von 45 Minuten gehackt
Der Forscher testete acht verschiedene Android-Smartphones und zwei iPhones. Zu den Android-Handys gehören Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G und Huawei P40. Zu den iPhones gehören auch das iPhone SE und das iPhone 7.
Der Fingerabdruckschutz aller Smartphones hat eine begrenzte Anzahl von Versuchen, aber der BrutePrint-Angriff kann diese Einschränkung umgehen. Tatsächlich benötigen Fingerabdruck-Authentifikatoren nicht die exakte Übereinstimmung zwischen den eingegebenen und den gespeicherten Fingerabdruckdaten, um zu funktionieren. Stattdessen wird der Schwellenwert verwendet, um zu bestimmen, ob die Eingabe nah genug ist, um eine Übereinstimmung zu sein. Dies bedeutet, dass jedes bösartige System dies ausnutzen und versuchen kann, die gespeicherten Fingerabdruckdaten abzugleichen. Alles, was sie tun müssen, ist, die Begrenzung der Fingerabdruckversuche zu umgehen.
Gizchina-Nachrichten der Woche
Wie die Forscher das 15-Dollar-Tool zum Entsperren von Fingerabdruckscannern auf Smartphones verwendeten
Um die Smartphones zu entsperren, mussten die Forscher lediglich die Rückabdeckung der Smartphones entfernen und Habe die 15-Dollar-Platine angebracht. Sobald der Angriff beginnt, dauert es nur weniger als eine Stunde, um jedes Gerät zu entsperren. Sobald das Gerät entsperrt ist, können sie es auch zum Autorisieren von Zahlungen verwenden.
Die Zeit, die zum Entsperren jedes Telefons benötigt wurde, war von Telefon zu Telefon unterschiedlich. Während das Entsperren beim Oppo beispielsweise etwa 40 Minuten dauerte, dauerte das Entsperren beim Samsung Galaxy S10+ etwa 73 Minuten bis 2,9 Stunden. Das am schwierigsten zu entsperrende Android-Smartphone war das Mi 11 Ultra. Nach Angaben der Forscher dauerte das Entsperren etwa 2,78 bis 13,89 Stunden.
Das iPhone ist ziemlich sicher
Bei dem Versuch, das iPhone zu entsperren, konnten die Forscher ihr Ziel nicht erreichen. Das bedeutet nicht wirklich, dass die Android-Fingerabdrücke schwächer sind als die des iPhones. Das liegt vor allem daran, dass Apple die Daten der Nutzer auf dem iPhone verschlüsselt. Bei verschlüsselten Daten kann der BrutePrint-Angriff nicht auf die Fingerabdruckdatenbank auf dem iPhone zugreifen. Aus diesem Grund besteht bei dieser Angriffsform keine Möglichkeit, die Fingerabdrücke des iPhones zu entsperren.
Wie können Nutzer von Android-Smartphones die Sicherheit ihrer persönlichen Daten gewährleisten?
Als Endbenutzer können Sie außer der Verwendung von Passwörtern und anderen Schutzmaßnahmen kaum etwas tun. Es liegt jedoch an den Android-Entwicklern, zusätzliche Maßnahmen zu ergreifen, um die Sicherheit der Benutzerdaten zu gewährleisten. Vor diesem Hintergrund haben die Forscher Yu Chen und Yiling einige Empfehlungen ausgesprochen. Sie schlugen vor, dass das Entwicklungsteam Umgehungsversuche einschränken werde. Sie forderten Google außerdem auf, alle zwischen dem Fingerabdruckscanner und dem Chipsatz gesendeten Daten zu verschlüsseln.
Fazit
Man konnte feststellen, dass die Forscher für diesen sogenannten BrutePrint-Angriff alte Smartphones verwendeten. Dies liegt daran, dass moderne Android-Smartphones durch strengere App-Berechtigungen und App-Sicherheitsdaten sicherer sind. Nach der von diesen Forschern verwendeten Methode zu urteilen, wird es für den BrutePrint-Angriff sehr schwierig sein, in die moderne Android-Sicherheit einzudringen.
Security Boulevard hat auch Benutzern der neuesten Android-Smartphones versichert, dass sie sich keine Sorgen machen müssen. Dies liegt daran, dass der BrutePrint-Angriff möglicherweise nicht auf Android-Smartphones funktioniert, die den neuesten Standards von Google entsprechen.
Quelle/VIA:
