Cap jari palsu boleh digunakan untuk membuka kunci beberapa telefon Android, menurut Tencent’s Yu Chen dan Zhejiang University’s Yiling He (melalui Ars Technica).
Para penyelidik telah mendapati bahawa dua sifar-kerentanan hari yang terdapat dalam rangka kerja pengesahan cap jari hampir semua telefon pintar boleh dieksploitasi untuk membuka kunci telefon bimbit Android.
Serangan itu telah dinamakan BrutePrint. Ia memerlukan papan litar $15 dengan pengawal mikro, suis analog, kad kilat SD dan penyambung papan ke papan. Penyerang juga perlu memiliki telefon pintar mangsa selama sekurang-kurangnya 45 minit dan pangkalan data cap jari juga diperlukan. Penyelidik menguji lapan telefon Android- Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5Gand Huawei P40-dan dua iPhone- iPhone SE dan iPhone 7. Telefon pintar membenarkan bilangan percubaan cap jari yang terhad tetapi BrutePrint boleh memintas had tersebut. Proses pengesahan cap jari tidak memerlukan padanan langsung antara nilai yang dimasukkan dan nilai pangkalan data. Ia menggunakan ambang rujukan untuk menentukan padanan. Pelakon jahat boleh mengambil kesempatan daripada ini dengan mencuba input yang berbeza sehingga mereka menggunakan imej yang hampir menyerupai imej yang disimpan dalam pangkalan data cap jari.
Penyerang perlu mengalih keluar penutup belakang telefon untuk memasang papan litar $15 dan melakukan serangan. Para penyelidik dapat membuka kunci semua lapan telefon Android menggunakan kaedah itu. Setelah telefon dibuka kunci, ia juga boleh digunakan untuk membenarkan pembayaran.
iPhone selamat kerana iOS menyulitkan data
Pengesahan cap jari telefon pintar menggunakan antara muka persisian bersiri untuk menyambungkan penderia dan cip telefon pintar. Memandangkan Android tidak menyulitkan data, BrutePrint boleh mencuri imej yang disimpan dalam peranti sasaran dengan mudah.
Security Boulevard mengatakan bahawa pemilik telefon Android baharu tidak perlu risau kerana serangan itu mungkin tidak akan berfungsi pada telefon yang mengikut piawaian terkini Google.