Saatat olla kanssani samaa mieltä siitä, että sormenjälkitunnistimet ovat kasvattaneet suosiotaan useimpien Android-älypuhelinten omistajien keskuudessa. Melkein jokaisessa Android-älypuhelimessa on sormenjälkitunnistin. Useimmissa tapauksissa löydät sormenjälkitunnistimet kolmesta eri sijainnista Android-älypuhelimissa. Meillä on sivulle kiinnitetyt sormenjälkitunnistimet, taakse asennetut ja näytön alle asennettavat sormenjälkitunnistimet. Sijainnistaan riippumatta niillä kaikilla on yksi päätarkoitus, eli turvallisuus.
Koska jokaisella ihmisellä maan päällä on erilainen sormenjälki, ei voida kiistää, että älypuhelimen sormenjälkitunnistimen pitäisi olla yksi turvallisimmista tavoista yksityisten tietojen pitäminen poissa kolmannelta silmältä. Sikäli kuin tämä lausunto on pätevä, onko näin todella? Tarjoavatko älypuhelimien sormenjälkitunnistimet parhaan suojan?
No, vastaus tähän saattaa riippua siitä, kuinka haluat avata sormenjäljellä suojatun puhelimen. Jos yrität avata lukituksen toisella sormenjäljellä, jota ei ole rekisteröity älypuhelimeen, sinulla on varmasti paras suojamuoto. Entä jos yrität avata lukituksen hakkerointityökalulla? Sen pitäisi olla aika vaikea tehdä, eikö? Vaikka se olisi mahdollista, sen työkalun pitäisi varmasti maksaa omaisuuksia. Riittävän kallis valtion turvallisuusvirastoille, kuten FBI:lle ja muille, jotta niillä on varaa tutkintatarkoituksiin.
Tosiasia on, että on olemassa uusi työkalu, joka voi murtautua Android-laitteen sormenjälkisuojauksen läpi, mutta joka ei maksa omaisuuksia. Se on 15 dollarin työkalu, joka tekee kaiken taikuuden.
15 dollarin työkalut rikkovat älypuhelimia sormenjälkitunnistimet suojaavat
Tencentin Yu Chenin ja Zhejiangin yliopiston Yilingin uusi tutkimus. Hän on osoittanut, että on olemassa kaksi tuntemattomia haavoittuvuuksia lähes kaikissa älypuhelimissa. Nämä haavoittuvuudet sijaitsevat sormenjälkitunnistusjärjestelmässä, ja niitä kutsutaan nollapäivän haavoittuvuuksiksi. Hyödyntämällä näitä haavoittuvuuksia he voivat käynnistää hyökkäyksen nimeltä BrutePrint-hyökkäys avatakseen lähes minkä tahansa älypuhelimen sormenjälkitunnistimen.
Tämän saavuttamiseksi he käyttivät 15 dollarin piirilevyä mikro-ohjaimella, analogisella kytkimellä ja SD-muistikortilla. , ja board-to-board-liitin. Hyökkääjien tarvitsee vain viettää 45 minuuttia uhrin puhelimen ja tietysti sormenjälkitietokannan kanssa.
Android-älypuhelimien sormenjälkitunnistimet hakkeroitiin 45 minuutissa
Tutkija testasi kahdeksan erilaista Android-älypuhelimet ja kaksi iPhonea. Android-puhelimiin kuuluvat Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G ja Huawei P40. iPhonet sisältävät myös iPhone SE:n ja iPhone 7:n.
Kaikilla älypuhelimien sormenjälkisuojauksilla on rajoitettu määrä yrityksiä, mutta BrutePrint-hyökkäys voi ohittaa tämän rajoituksen. Itse asiassa sormenjälkitunnistimet eivät vaadi tarkkaa vastaavuutta syötteen ja tallennettujen sormenjälkitietojen välillä toimiakseen. Sen sijaan se käyttää kynnystä määrittääkseen, onko syöte tarpeeksi lähellä vastaamaan sitä. Tämä tarkoittaa, että mikä tahansa haitallinen järjestelmä voi hyödyntää ja yrittää täsmäyttää tallennettuja sormenjälkitietoja. Heidän on vain kyettävä ohittamaan sormenjälkiyritysten raja.
Viikon Gizchina-uutiset
Kuinka tutkijat käyttivät 15 dollarin työkalua älypuhelimien sormenjälkitunnistimien lukituksen avaamiseen
Älypuhelimien lukituksen avaamiseksi tutkijoiden täytyi poistaa älypuhelimien takakansi ja kiinnitti 15 dollarin piirilevyn. Heti kun hyökkäys alkaa, kunkin laitteen lukituksen avaaminen kestää vain alle tunnin. Kun laitteen lukitus on avattu, he voivat käyttää sitä myös maksujen valtuutukseen.
Kunkin puhelimen lukituksen avaamiseen kulunut aika vaihteli puhelimesta toiseen. Esimerkiksi Oppon lukituksen avaaminen kesti noin 40 minuuttia, kun taas Samsung Galaxy S10+:n lukituksen avaaminen kesti noin 73 minuutista 2,9 tuntiin. Vaikeimmin avattava Android-älypuhelin oli Mi 11 Ultra. Tutkijoiden mukaan sen lukituksen avaaminen kesti noin 2,78–13,89 tuntia.
iPhone on melko turvallinen
Yrittäessään avata iPhonen lukitusta tutkijat eivät voineet saavuttaa tavoitettaan. Tämä ei todellakaan tarkoita, että Android-sormenjäljet olisivat heikompia kuin iPhonessa. Se johtuu pääasiassa siitä, että Apple salaa käyttäjien tiedot iPhonessa. Salatuilla tiedoilla BrutePrint-hyökkäys ei pääse käsiksi iPhonen sormenjälkitietokantaan. Tästä johtuen tällä hyökkäyksellä ei voi mitenkään avata iPhonen sormenjälkiä.
Miten Android-älypuhelinten käyttäjät voivat varmistaa henkilötietojensa turvallisuuden?
Loppukäyttäjänä et voi tehdä muuta kuin käyttää salasanoja ja muita suojausmuotoja. Android-kehittäjien tehtävänä on kuitenkin ryhtyä lisätoimenpiteisiin varmistaakseen käyttäjätietojen turvallisuuden. Tämän vuoksi tutkijat, Yu Chen ja Yiling tekivät muutamia suosituksia. He ehdottivat, että kehitystiimi rajoittaa ohitusyrityksiä. He myös kehottivat Googlea salaamaan kaikki sormenjälkitunnistimen ja piirisarjan välillä lähetetyt tiedot.
Johtopäätös
Voit huomata, että tutkijat käyttivät vanhoja älypuhelimia tähän niin kutsuttuun BrutePrint-hyökkäykseen. Tämä johtuu siitä, että nykyaikaiset Android-älypuhelimet ovat paremmin suojattuja tiukempien sovellusten käyttöoikeuksilla ja sovellusten turvallisuustiedoilla. Näiden tutkijoiden käyttämän menetelmän perusteella BrutePrint-hyökkäyksen on erittäin vaikea tunkeutua nykyajan Android-tietoturvaan.
Security Boulevard on myös vakuuttanut uusimpien Android-älypuhelimien käyttäjille, etteivät ne huolehdi. Tämä johtuu siitä, että BrutePrint-hyökkäys ei välttämättä toimi Android-älypuhelimissa, jotka noudattavat Googlen uusimpia standardeja.
Lähde/VIA:
