Potresti essere d’accordo con me sul fatto che i lettori di impronte digitali sono diventati sempre più popolari tra la maggior parte dei possessori di smartphone Android. Quasi ogni singolo smartphone Android ha uno scanner di impronte digitali. Nella maggior parte dei casi, troverai scanner di impronte digitali in tre diverse posizioni degli smartphone Android. Abbiamo lettori di impronte digitali montati lateralmente, lettori di impronte digitali montati sul retro e sotto il display. Indipendentemente dalla loro posizione, hanno tutti uno scopo principale, ovvero la sicurezza.
Poiché ogni essere umano sulla terra ha un’impronta digitale diversa, non si può negare che i lettori di impronte digitali sullo smartphone dovrebbero essere uno dei modi più sicuri di tenere i dati privati lontani da un terzo occhio. Nella misura in cui questa affermazione è valida, è davvero così? Gli scanner di impronte digitali sugli smartphone forniscono la migliore forma di sicurezza?
Beh, la risposta a questa domanda potrebbe dipendere da come vorresti sbloccare il telefono protetto da impronte digitali. Se stai tentando di sbloccare con un’impronta digitale diversa che non è registrata sullo smartphone, allora hai sicuramente la migliore forma di protezione. Cosa succede se provi a sbloccare con uno strumento di hacking? Dovrebbe essere abbastanza difficile da fare, giusto? Anche ammesso che sia possibile, allora, quello strumento dovrebbe sicuramente costare una fortuna. Abbastanza costoso perché le agenzie di sicurezza governative come l’FBI e il resto possano permetterselo a scopo investigativo.
Il fatto è che esiste un nuovo strumento che può violare la protezione delle impronte digitali del dispositivo Android ma non costa una fortuna. È uno strumento da $ 15 che fa tutte le magie.
Uno strumento da $ 15 rompe la protezione degli scanner di impronte digitali degli smartphone
Una nuova ricerca di Yu Chen di Tencent e Yiling He della Zhejiang University ha indicato che ce ne sono due vulnerabilità sconosciute in quasi tutti gli smartphone. Queste vulnerabilità si trovano nel sistema di autenticazione delle impronte digitali e sono definite vulnerabilità zero-day. Sfruttando queste vulnerabilità, possono lanciare un attacco chiamato attacco BrutePrint per sbloccare quasi tutti gli scanner di impronte digitali per smartphone.
Per raggiungere questo obiettivo, hanno utilizzato un circuito stampato da $ 15 con un microcontrollore, un interruttore analogico, una scheda flash SD e connettore scheda-scheda. Tutto ciò di cui gli aggressori hanno bisogno è passare 45 minuti con il telefono della vittima e, naturalmente, il database delle impronte digitali.
Gli scanner di impronte digitali degli smartphone Android sono stati violati entro 45 minuti
Il ricercatore ha testato otto diversi Smartphone Android e due iPhone. I telefoni Android includono Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G e Huawei P40. Gli iPhone includono anche iPhone SE e iPhone 7.
Tutte le protezioni delle impronte digitali degli smartphone hanno un numero limitato di tentativi, ma l’attacco BrutePrint può aggirare questa limitazione. In realtà, gli autenticatori di impronte digitali per funzionare non richiedono l’esatta corrispondenza tra l’input e i dati dell’impronta memorizzati. Utilizza invece la soglia per determinare se l’input è sufficientemente vicino per essere una corrispondenza. Ciò significa che qualsiasi sistema dannoso può trarne vantaggio e provare ad abbinare i dati delle impronte digitali memorizzati. Tutto quello che devono fare è essere in grado di aggirare il limite posto sui tentativi di impronte digitali.
Gizchina News della settimana
In che modo i ricercatori hanno utilizzato lo strumento da $ 15 per sbloccare gli scanner di impronte digitali sugli smartphone
Per sbloccare gli smartphone, tutto ciò che i ricercatori dovevano fare era rimuovere la cover posteriore degli smartphone e attaccato il circuito da $ 15. Non appena inizia l’attacco, ci vuole solo meno di un’ora per sbloccare ogni dispositivo. Una volta sbloccato il dispositivo, possono utilizzarlo anche per autorizzare i pagamenti.
Il tempo impiegato per sbloccare ciascun telefono variava da un telefono all’altro. Mentre l’Oppo, ad esempio, ha impiegato circa 40 minuti per sbloccarsi, il Samsung Galaxy S10+ ha impiegato da 73 minuti a 2,9 ore per sbloccarsi. Lo smartphone Android più difficile da sbloccare è stato il Mi 11 Ultra. Secondo i ricercatori, ci sono volute dalle 2,78 alle 13,89 ore per sbloccarlo.
L’iPhone è Abbastanza Sicuro
Nel tentativo di sbloccare l’iPhone, i ricercatori non sono riusciti a raggiungere il loro obiettivo. Ciò non significa realmente che le impronte digitali Android siano più deboli di quelle dell’iPhone. È principalmente perché Apple crittografa i dati degli utenti su iPhone. Con dati crittografati, l’attacco BrutePrint non può accedere al database delle impronte digitali sull’iPhone. Per questo motivo, non è possibile che questa forma di attacco sia in grado di sbloccare le impronte digitali dell’iPhone.
In che modo gli utenti di smartphone Android possono garantire la sicurezza dei propri dati personali?
Come utente finale, c’è ben poco che puoi fare a parte l’utilizzo di password e altre forme di protezione. Tuttavia, spetta agli sviluppatori Android adottare misure aggiuntive per garantire la sicurezza dei dati degli utenti. In considerazione di ciò, i ricercatori, Yu Chen e Yiling hanno formulato alcune raccomandazioni. Hanno suggerito che il team di sviluppo limiterà i tentativi di bypass. Hanno anche esortato Google a crittografare tutti i dati inviati tra lo scanner di impronte digitali e il chipset.
Conclusione
Potresti notare che i ricercatori hanno utilizzato vecchi smartphone per questo cosiddetto attacco BrutePrint. Questo perché i moderni smartphone Android sono più protetti con autorizzazioni delle app e dati sulla sicurezza delle app più rigidi. A giudicare dal metodo utilizzato da questi ricercatori, sarà molto difficile per l’attacco BrutePrint riuscire a penetrare la sicurezza Android moderna.
Security Boulevard ha anche assicurato agli utenti degli ultimi smartphone Android di non preoccuparsi. Questo perché l’attacco BrutePrint potrebbe non funzionare sugli smartphone Android che seguono gli ultimi standard di Google.
Fonte/VIA:
