ลายนิ้วมือปลอมสามารถใช้เพื่อปลดล็อกโทรศัพท์ Android บางรุ่นได้ ตามข้อมูลของ Yu Chen จาก Tencent และ Yiling He จาก Zhejiang University (ผ่าน Ars Technica)
นักวิจัยได้ค้นพบว่าเลขศูนย์สองตัว ช่องโหว่รายวันที่มีอยู่ในเฟรมเวิร์กการตรวจสอบลายนิ้วมือของสมาร์ทโฟนเกือบทั้งหมดสามารถถูกโจมตีเพื่อปลดล็อกโทรศัพท์มือถือ Android ได้
การโจมตีนี้มีชื่อว่า BrutePrint ต้องใช้แผงวงจรมูลค่า 15 ดอลลาร์พร้อมไมโครคอนโทรลเลอร์ สวิตช์อะนาล็อก การ์ดแฟลช SD และตัวเชื่อมต่อระหว่างบอร์ดกับบอร์ด ผู้โจมตีจะต้องครอบครองสมาร์ทโฟนของเหยื่อเป็นเวลาอย่างน้อย 45 นาที และต้องมีฐานข้อมูลลายนิ้วมือด้วย นักวิจัยได้ทดสอบโทรศัพท์ Android แปดเครื่อง ได้แก่ Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5Gand Huawei P40-และ iPhone สองเครื่อง- iPhone SE และ iPhone 7 สมาร์ทโฟนอนุญาตให้ใช้ลายนิ้วมือได้ในจำนวนจำกัด แต่ BrutePrint สามารถข้ามขีดจำกัดนั้นได้ กระบวนการตรวจสอบลายนิ้วมือไม่จำเป็นต้องจับคู่โดยตรงระหว่างค่าที่ป้อนและค่าฐานข้อมูล ใช้เกณฑ์อ้างอิงเพื่อกำหนดการจับคู่ ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากสิ่งนี้ได้โดยลองใช้อินพุตต่างๆ จนกว่าจะใช้ภาพที่ใกล้เคียงกับภาพที่จัดเก็บไว้ในฐานข้อมูลลายนิ้วมือ
ผู้โจมตีจะต้องถอดฝาหลังของโทรศัพท์ออกเพื่อติดแผงวงจรมูลค่า $15 และ ดำเนินการโจมตี นักวิจัยสามารถปลดล็อกโทรศัพท์ Android ได้ทั้งแปดเครื่องโดยใช้วิธีการนี้ เมื่อปลดล็อคโทรศัพท์แล้ว ยังสามารถใช้อนุมัติการชำระเงินได้อีกด้วย
iPhone ปลอดภัยเพราะ iOS เข้ารหัสข้อมูล
การตรวจสอบลายนิ้วมือของสมาร์ทโฟนใช้อินเทอร์เฟซอุปกรณ์ต่อพ่วงแบบอนุกรมเพื่อเชื่อมต่อเซ็นเซอร์และ ชิปสมาร์ทโฟน เนื่องจาก Android ไม่เข้ารหัสข้อมูล BrutePrint จึงสามารถขโมยภาพที่จัดเก็บไว้ในอุปกรณ์เป้าหมายได้อย่างง่ายดาย
Security Boulevard กล่าวว่า เจ้าของโทรศัพท์ Android รุ่นใหม่ไม่ต้องกังวล เนื่องจากการโจมตีจะไม่ทำงานบนโทรศัพท์ที่เป็นไปตามมาตรฐานล่าสุดของ Google