ลายนิ้วมือปลอมสามารถใช้เพื่อปลดล็อกโทรศัพท์ Android บางรุ่นได้ ตามข้อมูลของ Yu Chen จาก Tencent และ Yiling He จาก Zhejiang University (ผ่าน Ars Technica)
นักวิจัยได้ค้นพบว่าเลขศูนย์สองตัว ช่องโหว่รายวันที่มีอยู่ในเฟรมเวิร์กการตรวจสอบลายนิ้วมือของสมาร์ทโฟนเกือบทั้งหมดสามารถถูกโจมตีเพื่อปลดล็อกโทรศัพท์มือถือ Android ได้
การโจมตีนี้มีชื่อว่า BrutePrint ต้องใช้แผงวงจรมูลค่า 15 ดอลลาร์พร้อมไมโครคอนโทรลเลอร์ สวิตช์อะนาล็อก การ์ดแฟลช SD และตัวเชื่อมต่อระหว่างบอร์ดกับบอร์ด นอกจากนี้ ผู้โจมตีจะต้องครอบครองสมาร์ทโฟนของเหยื่อเป็นเวลาอย่างน้อย 45 นาที และต้องมีฐานข้อมูลลายนิ้วมือด้วย
โทรศัพท์ Android สามารถถูกแฮ็กได้ในเวลาเพียง 45 นาที
นักวิจัยทดสอบ 8 รายการ โทรศัพท์ Android- Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G และ Huawei P40-และ iPhone สองเครื่อง- iPhone SE และ iPhone 7
สมาร์ทโฟนอนุญาต สำหรับการลองลายนิ้วมือในจำนวนจำกัด แต่ BrutePrint สามารถข้ามขีดจำกัดนั้นได้ กระบวนการตรวจสอบลายนิ้วมือไม่จำเป็นต้องจับคู่โดยตรงระหว่างค่าที่ป้อนและค่าฐานข้อมูล ใช้เกณฑ์อ้างอิงเพื่อกำหนดการจับคู่ ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากสิ่งนี้โดยลองใช้อินพุตต่างๆ จนกว่าจะใช้ภาพที่ใกล้เคียงกับภาพที่จัดเก็บไว้ในฐานข้อมูลลายนิ้วมือ
ผู้โจมตีจะต้องถอดฝาหลังของโทรศัพท์ออกเพื่อติดแผงวงจรมูลค่า 15 ดอลลาร์ และดำเนินการโจมตี นักวิจัยสามารถปลดล็อกโทรศัพท์ Android ได้ทั้งแปดเครื่องโดยใช้วิธีการนี้ เมื่อปลดล็อคโทรศัพท์แล้ว ยังสามารถใช้อนุมัติการชำระเงินได้อีกด้วย
กระบวนการทั้งหมดอาจใช้เวลาตั้งแต่ 40 นาทีถึง 14 ชั่วโมง ขึ้นอยู่กับปัจจัยต่างๆ เช่น กรอบการตรวจสอบลายนิ้วมือของรุ่นนั้นๆ และจำนวนลายนิ้วมือที่บันทึกไว้ สำหรับการตรวจสอบสิทธิ์
Galaxy S10+ ใช้เวลาน้อยที่สุดในการให้ (0.73 ถึง 2.9 ชั่วโมง) ในขณะที่ Mi 11 ใช้เวลานานที่สุด (2.78 ถึง 13.89 ชั่วโมง)
iPhone ปลอดภัยเพราะ iOS เข้ารหัสข้อมูล
การตรวจสอบสิทธิ์ด้วยลายนิ้วมือของสมาร์ทโฟนใช้อินเทอร์เฟซอุปกรณ์ต่อพ่วงแบบอนุกรมเพื่อเชื่อมต่อเซ็นเซอร์และชิปของสมาร์ทโฟน เนื่องจาก Android ไม่เข้ารหัสข้อมูล BrutePrint จึงสามารถขโมยภาพที่จัดเก็บไว้ในอุปกรณ์เป้าหมายได้อย่างง่ายดาย
Security Boulevard กล่าวว่า เจ้าของโทรศัพท์ Android รุ่นใหม่ไม่ต้องกังวล เนื่องจากการโจมตีจะไม่ทำงานบนโทรศัพท์ที่เป็นไปตามมาตรฐานล่าสุดของ Google Yu Chen และ Yiling He ได้แนะนำให้ทำการเปลี่ยนแปลงหลายอย่างเพื่อป้องกันการโจมตีเหล่านี้ เช่น การจัดการ การจำกัดความพยายามในการบายพาสและการเข้ารหัสข้อมูลที่ส่งระหว่างเครื่องอ่านลายนิ้วมือและชิปเซ็ต
