U bent het misschien met me eens dat vingerafdrukscanners steeds populairder zijn geworden bij de meeste bezitters van Android-smartphones. Bijna elke Android-smartphone heeft een vingerafdrukscanner. Vingerafdrukscanners vind je in de meeste gevallen op drie verschillende locaties van Android-smartphones. We hebben vingerafdrukscanners aan de zijkant, vingerafdrukscanners aan de achterkant en vingerafdrukscanners onder het scherm. Ongeacht de locatie dienen ze allemaal één hoofddoel, namelijk beveiliging.
Aangezien elke mens op aarde een andere vingerafdruk heeft, valt niet te ontkennen dat vingerafdrukscanners op smartphones een van de meest beveiligde manieren zouden moeten zijn om privégegevens weg te houden van een derde oog. Voor zover deze verklaring geldig is, is dat werkelijk het geval? Bieden vingerafdrukscanners op smartphones de beste vorm van beveiliging?
Welnu, het antwoord hierop kan afhangen van hoe u de met vingerafdruk beveiligde telefoon wilt ontgrendelen. Probeer je te ontgrendelen met een andere vingerafdruk die niet op de smartphone is geregistreerd, dan heb je zeker de beste vorm van bescherming. Wat als u probeert te ontgrendelen met een hacktool? Dat zou best moeilijk moeten zijn om te doen, toch? Zelfs als het mogelijk is, zou die tool zeker een fortuin moeten kosten. Duur genoeg voor overheidsveiligheidsinstanties zoals de FBI en de rest om zich te kunnen veroorloven voor onderzoeksdoeleinden.
Feit is dat er een nieuwe tool is die de vingerafdrukbeveiliging van een Android-apparaat kan doorbreken, maar geen fortuin kost. Het is een tool van $ 15 die alle magie doet.
Een tool van $ 15 breekt de bescherming van smartphones af Vingerafdrukscanners
Nieuw onderzoek door Yu Chen van Tencent en Yiling van de Universiteit van Zhejiang He heeft aangegeven dat er twee onbekende kwetsbaarheden in bijna alle smartphones. Deze kwetsbaarheden bevinden zich in het vingerafdrukverificatiesysteem en worden zero-day-kwetsbaarheden genoemd. Door gebruik te maken van deze kwetsbaarheden, kunnen ze een aanval genaamd BrutePrint-aanval lanceren om vrijwel elke smartphone-vingerafdrukscanner te ontgrendelen.
Om dit te bereiken, gebruikten ze een printplaat van $ 15 met een microcontroller, analoge schakelaar, SD-flashkaart , en board-to-board connector. De aanvallers hoeven alleen maar 45 minuten door te brengen met de telefoon van het slachtoffer en natuurlijk de database met vingerafdrukken.
Android-smartphones Vingerafdrukscanners werden binnen 45 minuten gehackt
De onderzoeker testte acht verschillende Android-smartphones en twee iPhones. De Android-telefoons omvatten Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G en Huawei P40. De iPhones bevatten ook iPhone SE en iPhone 7.
Alle vingerafdrukbeveiligingen voor smartphones hebben een beperkt aantal pogingen, maar de BrutePrint-aanval kan deze beperking omzeilen. In feite vereisen vingerafdrukauthenticators niet dat de exacte overeenkomst tussen de invoer en de opgeslagen vingerafdrukgegevens werkt. In plaats daarvan gebruikt het de drempelwaarde om te bepalen of de invoer dichtbij genoeg is om een match te zijn. Dit betekent dat elk kwaadaardig systeem hiervan kan profiteren en kan proberen de opgeslagen vingerafdrukgegevens te matchen. Het enige wat ze hoeven te doen is de limiet op de vingerafdrukpogingen te omzeilen.
Gizchina Nieuws van de week
Hoe de onderzoekers de tool van $ 15 gebruikten om vingerafdrukscanners op smartphones te ontgrendelen
Om de smartphones te ontgrendelen, hoefden de onderzoekers alleen de achterkant van de smartphones te verwijderen en bevestigde de printplaat van $ 15. Zodra de aanval begint, duurt het slechts minder dan een uur om elk apparaat te ontgrendelen. Zodra het apparaat is ontgrendeld, kunnen ze het ook gebruiken om betalingen te autoriseren.
De tijd die nodig was om elke telefoon te ontgrendelen, varieerde van telefoon tot telefoon. Terwijl de Oppo bijvoorbeeld ongeveer 40 minuten nodig had om te ontgrendelen, deed de Samsung Galaxy S10+ er ongeveer 73 minuten tot 2,9 uur over om te ontgrendelen. De moeilijkste Android-smartphone om te ontgrendelen was de Mi 11 Ultra. Volgens de onderzoekers duurde het ongeveer 2,78 tot 13,89 uur om hem te ontgrendelen.
De iPhone is redelijk veilig
Bij het ontgrendelen van de iPhone konden de onderzoekers hun doel niet bereiken. Dit betekent niet echt dat Android-vingerafdrukken zwakker zijn dan die van de iPhone. Dat komt vooral doordat Apple de gegevens van gebruikers op de iPhone versleutelt. Met gecodeerde gegevens kan de BrutePrint-aanval geen toegang krijgen tot de vingerafdrukdatabase op de iPhone. Hierdoor is het onmogelijk dat deze vorm van aanval de vingerafdrukken van de iPhone kan ontgrendelen.
Hoe kunnen gebruikers van Android-smartphones de veiligheid van hun persoonlijke gegevens waarborgen?
Als eindgebruiker kun je weinig anders doen dan wachtwoorden en andere vormen van beveiliging gebruiken. Het is echter aan de Android-ontwikkelaars om extra maatregelen te nemen om de veiligheid van gebruikersgegevens te waarborgen. Met het oog hierop hebben de onderzoekers, Yu Chen en Yiling, enkele aanbevelingen gedaan. Ze stelden voor dat het ontwikkelingsteam bypass-pogingen zou beperken. Ook drongen ze er bij Google op aan om alle gegevens die tussen de vingerafdrukscanner en de chipset verzonden worden, te versleutelen.
Conclusie
Je kon merken dat de onderzoekers oude smartphones gebruikten voor deze zogenaamde BrutePrint-aanval. Dit komt omdat moderne Android-smartphones beter beveiligd zijn met strengere app-machtigingen en app-veiligheidsgegevens. Afgaande op de methode die deze onderzoekers hebben gebruikt, zal het voor de BrutePrint-aanval erg moeilijk zijn om de moderne Android-beveiliging te doorbreken.
Security Boulevard heeft ook verzekerd dat gebruikers van de nieuwste Android-smartphones zich geen zorgen hoeven te maken. Dit komt omdat de BrutePrint-aanval mogelijk niet werkt op Android-smartphones die voldoen aan de nieuwste standaarden van Google.
Bron/VIA:
