Zgadzasz się ze mną, że skanery linii papilarnych zyskały na popularności wśród większości posiadaczy smartfonów z systemem Android. Prawie każdy smartfon z Androidem ma skaner linii papilarnych. W większości przypadków skanery linii papilarnych znajdziesz w trzech różnych lokalizacjach smartfonów z Androidem. Mamy skanery linii papilarnych montowane z boku, montowane z tyłu i pod wyświetlaczem. Niezależnie od lokalizacji, wszystkie służą jednemu głównemu celowi, czyli bezpieczeństwu.
Ponieważ każdy człowiek na ziemi ma inny odcisk palca, nie można zaprzeczyć, że skaner linii papilarnych w smartfonie powinien być jednym z najbezpieczniejszych sposobów trzymania prywatnych danych z dala od trzeciego oka. O ile to stwierdzenie jest poprawne, czy tak jest naprawdę? Czy skanery linii papilarnych w smartfonach zapewniają najlepszą formę bezpieczeństwa?
Cóż, odpowiedź na to pytanie może zależeć od tego, jak chcesz odblokować telefon chroniony odciskiem palca. Jeśli próbujesz odblokować innym odciskiem palca, który nie jest zarejestrowany w smartfonie, to na pewno masz najlepszą formę ochrony. Co się stanie, jeśli spróbujesz odblokować za pomocą narzędzia hakerskiego? To powinno być dość trudne do zrobienia, prawda? Nawet jeśli jest to możliwe, to narzędzie to z pewnością powinno kosztować fortunę. Wystarczająco drogie, aby rządowe agencje bezpieczeństwa, takie jak FBI i inne, mogły sobie pozwolić na dochodzenie.
Faktem jest, że istnieje nowe narzędzie, które może przebić się przez ochronę odcisków palców urządzenia z systemem Android, ale nie kosztuje fortuny. To narzędzie za 15 USD, które robi całą magię.
Narzędzia za 15 USD łamią ochronę smartfonów Skanery linii papilarnych
Nowe badania przeprowadzone przez Yu Chen z Tencent i Yiling z Uniwersytetu Zhejiang Wskazał, że istnieją dwa nieznane luki w prawie wszystkich smartfonach. Luki te znajdują się w systemie uwierzytelniania odcisków palców i są określane jako luki dnia zerowego. Wykorzystując te luki, mogą przeprowadzić atak o nazwie BrutePrint, aby odblokować prawie każdy skaner linii papilarnych smartfona.
Aby to osiągnąć, użyli płytki drukowanej o wartości 15 USD z mikrokontrolerem, przełącznikiem analogowym i kartą SD flash i złącze płytka-płytka. Wszystko, czego potrzebują atakujący, to spędzić 45 minut z telefonem ofiary i oczywiście z bazą danych odcisków palców.
Smartfony z Androidem Skanery odcisków palców zostały zhakowane w ciągu 45 minut
Badacz przetestował osiem różnych Smartfony z Androidem i dwa iPhone’y. Telefony z Androidem to Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G i Huawei P40. iPhone’y obejmują również iPhone SE i iPhone 7.
Wszystkie zabezpieczenia odcisków palców smartfonów mają ograniczoną liczbę prób, ale atak BrutePrint może ominąć to ograniczenie. W rzeczywistości uwierzytelniacze odcisków palców nie wymagają dokładnego dopasowania danych wejściowych i przechowywanych danych odcisków palców do działania. Zamiast tego używa wartości progowej do określenia, czy dane wejściowe są wystarczająco bliskie, aby można je było dopasować. Oznacza to, że każdy złośliwy system może wykorzystać i spróbować dopasować przechowywane dane odcisków palców. Wszystko, co muszą zrobić, to być w stanie ominąć limit nałożony na próby odcisku palca.
Gizchina Wiadomości tygodnia
Jak naukowcy wykorzystali narzędzie za 15 USD do odblokowania skanerów linii papilarnych w smartfonach
Aby odblokować smartfony, badacze musieli jedynie zdjąć tylną obudowę smartfonów i dołączono płytkę drukowaną za 15 USD. Gdy tylko atak się rozpocznie, odblokowanie każdego urządzenia zajmuje mniej niż godzinę. Po odblokowaniu urządzenia mogą go również używać do autoryzacji płatności.
Czas potrzebny na odblokowanie każdego telefonu różnił się w zależności od telefonu. Podczas gdy odblokowanie Oppo zajęło na przykład około 40 minut, odblokowanie Samsunga Galaxy S10+ zajęło około 73 minut do 2,9 godziny. Najtrudniejszym do odblokowania smartfonem z Androidem był Mi 11 Ultra. Według naukowców odblokowanie zajęło około 2,78 do 13,89 godzin.
iPhone jest całkiem bezpieczny
Próbując odblokować iPhone’a, naukowcy nie mogli osiągnąć swojego celu. Nie oznacza to tak naprawdę, że odciski palców Androida są słabsze niż iPhone’a. Dzieje się tak głównie dlatego, że Apple szyfruje dane użytkowników na iPhonie. W przypadku zaszyfrowanych danych atak BrutePrint nie może uzyskać dostępu do bazy danych odcisków palców na iPhonie. Z tego powodu ta forma ataku nie może odblokować odcisków palców iPhone’a.
W jaki sposób użytkownicy smartfonów z Androidem mogą zapewnić bezpieczeństwo swoich danych osobowych?
Jako użytkownik końcowy niewiele możesz zrobić poza używaniem haseł i innych form ochrony. Jednak to do programistów Androida należy podjęcie dodatkowych środków w celu zapewnienia bezpieczeństwa danych użytkownika. W związku z tym naukowcy, Yu Chen i Yiling, przedstawili kilka zaleceń. Zasugerowali, że zespół programistów ograniczy próby obejścia. Wezwali również Google do zaszyfrowania wszystkich danych przesyłanych między skanerem linii papilarnych a chipsetem.
Wnioski
Można było zauważyć, że badacze użyli starych smartfonów do tego tak zwanego ataku BrutePrint. Dzieje się tak dlatego, że nowoczesne smartfony z Androidem są lepiej zabezpieczone dzięki bardziej rygorystycznym uprawnieniom aplikacji i danym bezpieczeństwa aplikacji. Sądząc po metodzie zastosowanej przez tych badaczy, atakowi BrutePrint będzie bardzo trudno przeniknąć do współczesnych zabezpieczeń Androida.
Security Boulevard zapewnił również użytkowników najnowszych smartfonów z Androidem, że nie powinni się martwić. Wynika to z faktu, że atak BrutePrint może nie działać na smartfonach z Androidem zgodnych z najnowszymi standardami Google.
Źródło/VIA:
