ここ数年、ハッカーが脆弱性を悪用して情報にアクセスする脅威により、多くのスマートフォン会社が強力なサイバーセキュリティ対策を講じるようになったことは周知の事実です。しかし、Tencent Labs と浙江大学の研究者は、指紋認証システムを標的とした新しいタイプの攻撃を発見しました。最新のスマートフォンでは。 BrutePrint と呼ばれるこの攻撃は、試行錯誤を繰り返すことでユーザー認証を回避することを目的としており、アカウントや個人に重大な脅威をもたらします。
BrutePrint 攻撃はどのように機能しますか?
To BrutePrint 攻撃を実行する際、研究者らは Cancel-After-Match-Fail (CAMF) と Match-After-Lock (MAL) という 2 つのゼロデイ脆弱性を特定して悪用しました。これにより、試行制限や制限などのスマートフォンの既存の保護手段を突破できるようになりました。生存検知。さらに、研究者らは、指紋センサーのシリアル ペリフェラル インターフェイス (SPI) 上のデータが保護されていないため、攻撃を受けやすくなっていることも発見しました。
この攻撃は、提供されたデータベースを使用して、体系的にデバイスのロックを解除しようとすることで機能します。学術データセット、漏洩した生体認証データ、および同様の情報源から。ただし、侵害が成功するまでに必要な時間は、保存されている指紋の数によって異なることに注意することが重要です。たとえば、登録された指紋が 1 つだけのスマートフォンの場合、攻撃には 2.9 ~ 13.9 時間かかる可能性があります。ただし、複数の指紋が登録されているデバイスでは、適切な指紋を見つける確率が大幅に高まるため、攻撃にかかる時間はわずか約 0.66 ~ 2.78 時間です。
攻撃に対して脆弱なデバイス
研究者らは報告書で次のように述べています。は、人気のあるスマートフォン 10 モデルで攻撃をテストしたところ、すべての Android デバイスが脆弱であることが判明したと述べています。したがって、攻撃者がデバイスにアクセスした場合、安全対策を無効にし、十分な時間を確保し、15 ドル程度の最小限のハードウェアを用意するだけで済みます。一方、iOS デバイスの安全性ははるかに高く、研究者らは iPhone SE および iPhone 7 モデルでさらに 10 回の試行しか得られず、攻撃は無効になりました。
このタイプの攻撃は魅力的ではないかもしれませんが、スマートフォンへの物理的なアクセスが必要なため、平均的なハッカーであるが、研究者らは、国の支援を受けた関係者や法執行機関がこの手法を悪用してデータにアクセスする可能性があると警告している。したがって、デバイス メーカーは迅速に行動し、これらのゼロデイ脆弱性をできるだけ早く修正する必要があります。