เครื่องสแกนลายนิ้วมือบนโทรศัพท์ Android ปลอดภัยจริงหรือ? การวิจัยใหม่บอกว่าไม่มี

คุณอาจเห็นด้วยกับเราว่าเครื่องสแกนลายนิ้วมือได้รับความนิยมเพิ่มขึ้นในหมู่เจ้าของสมาร์ทโฟน Android ส่วนใหญ่ สมาร์ทโฟน Android เกือบทุกเครื่องมีเครื่องสแกนลายนิ้วมือ ในกรณีส่วนใหญ่ คุณจะพบเครื่องสแกนลายนิ้วมือในสามตำแหน่งที่แตกต่างกันของสมาร์ทโฟน Android เรามีเครื่องสแกนลายนิ้วมือแบบติดตั้งด้านข้าง เครื่องสแกนลายนิ้วมือแบบติดตั้งด้านหลัง และด้านล่างจอแสดงผล ไม่ว่าจะอยู่ที่ใด ล้วนมีจุดประสงค์หลักประการเดียว นั่นคือความปลอดภัย

เนื่องจากมนุษย์ทุกคนบนโลกมีลายนิ้วมือที่แตกต่างกัน จึงปฏิเสธไม่ได้ว่าเครื่องสแกนลายนิ้วมือบนสมาร์ทโฟนควรเป็นหนึ่งในวิธีที่ปลอดภัยที่สุด ในการเก็บข้อมูลส่วนตัวให้ห่างจากตาที่สาม เท่าที่ข้อความนี้ถูกต้องเป็นจริงหรือไม่? เครื่องสแกนลายนิ้วมือบนสมาร์ทโฟนให้การรักษาความปลอดภัยที่ดีที่สุดหรือไม่

คำตอบนี้อาจขึ้นอยู่กับว่าคุณต้องการปลดล็อกโทรศัพท์ที่ป้องกันลายนิ้วมืออย่างไร หากคุณพยายามปลดล็อกด้วยลายนิ้วมืออื่นที่ไม่ได้ลงทะเบียนในสมาร์ทโฟน แสดงว่าคุณมีรูปแบบการป้องกันที่ดีที่สุด จะเป็นอย่างไรถ้าคุณพยายามปลดล็อกด้วยเครื่องมือแฮ็ก มันคงเป็นเรื่องยากที่จะทำใช่ไหม? แม้ว่าจะเป็นไปได้ก็ตาม เครื่องมือนั้นก็ต้องเสียเงินเป็นแน่ แพงพอที่หน่วยงานความมั่นคงของรัฐบาล เช่น FBI และหน่วยงานอื่นๆ จะสามารถจ่ายเพื่อวัตถุประสงค์ในการสืบสวนได้

ความจริงก็คือมีเครื่องมือใหม่ที่สามารถเจาะทะลุการป้องกันลายนิ้วมือของอุปกรณ์ Android ได้ แต่ไม่ต้องเสียค่าใช้จ่ายมากมาย เป็นเครื่องมือราคา $15 ที่ทำทุกอย่างได้อย่างมหัศจรรย์

เครื่องมือราคา $15 ทำลายระบบป้องกันเครื่องสแกนลายนิ้วมือของสมาร์ทโฟน

งานวิจัยใหม่โดย Yu Chen แห่ง Tencent และ Yiling University แห่ง Zhejiang University ได้ระบุว่ามีเครื่องมือสองอย่าง ช่องโหว่ที่ไม่รู้จักในสมาร์ทโฟนเกือบทั้งหมด ช่องโหว่เหล่านี้อยู่ในระบบการตรวจสอบลายนิ้วมือ และเรียกว่าช่องโหว่ซีโร่เดย์ ด้วยการใช้ประโยชน์จากช่องโหว่เหล่านี้ พวกเขาสามารถเริ่มการโจมตีที่เรียกว่าการโจมตี BrutePrint เพื่อปลดล็อกเครื่องสแกนลายนิ้วมือของสมาร์ทโฟนเกือบทุกรุ่น

เพื่อให้บรรลุเป้าหมายนี้ พวกเขาใช้แผงวงจรมูลค่า 15 ดอลลาร์กับไมโครคอนโทรลเลอร์ สวิตช์อะนาล็อก และแฟลชการ์ด SD และขั้วต่อระหว่างบอร์ดกับบอร์ด สิ่งที่ผู้โจมตีต้องการคือใช้เวลา 45 นาทีกับโทรศัพท์ของเหยื่อ และแน่นอน ฐานข้อมูลลายนิ้วมือ

เครื่องสแกนลายนิ้วมือของสมาร์ทโฟน Android ถูกแฮ็กภายใน 45 นาที

ผู้วิจัยทำการทดสอบแปดแบบที่แตกต่างกัน สมาร์ทโฟน Android และ iPhone สองเครื่อง โทรศัพท์ Android ได้แก่ Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G และ Huawei P40 iPhones ยังรวมถึง iPhone SE และ iPhone 7

การป้องกันลายนิ้วมือของสมาร์ทโฟนทั้งหมดจำกัดจำนวนครั้งในการพยายาม แต่การโจมตีด้วย BrutePrint สามารถข้ามข้อจำกัดนี้ได้ ในความเป็นจริงแล้ว เครื่องยืนยันตัวตนด้วยลายนิ้วมือไม่ต้องการการจับคู่ที่ตรงกันระหว่างข้อมูลที่ป้อนเข้าและข้อมูลลายนิ้วมือที่เก็บไว้ในการทำงาน แต่จะใช้เกณฑ์เพื่อพิจารณาว่าอินพุตใกล้เคียงพอที่จะจับคู่หรือไม่ ซึ่งหมายความว่าระบบที่เป็นอันตรายสามารถใช้ประโยชน์และพยายามจับคู่ข้อมูลลายนิ้วมือที่เก็บไว้ได้ สิ่งที่พวกเขาต้องทำคือสามารถข้ามขีดจำกัดของความพยายามตรวจลายนิ้วมือได้

Gizchina News of the week

วิธีที่นักวิจัยใช้เครื่องมือ $15 เพื่อปลดล็อกเครื่องสแกนลายนิ้วมือบนสมาร์ทโฟน

ในการปลดล็อกสมาร์ทโฟน นักวิจัยทั้งหมดต้องทำคือถอดฝาหลังของสมาร์ทโฟนออกและ ติดแผงวงจร $15 ทันทีที่การโจมตีเริ่มขึ้น ใช้เวลาน้อยกว่าหนึ่งชั่วโมงในการปลดล็อกอุปกรณ์แต่ละเครื่อง เมื่อปลดล็อกอุปกรณ์แล้ว พวกเขายังสามารถใช้อุปกรณ์เพื่ออนุมัติการชำระเงินได้อีกด้วย

เวลาที่ใช้ในการปลดล็อกโทรศัพท์แต่ละเครื่องแตกต่างกันไปตามโทรศัพท์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง ในขณะที่ Oppo ใช้เวลาประมาณ 40 นาทีในการปลดล็อค Samsung Galaxy S10+ ใช้เวลาประมาณ 73 นาทีถึง 2.9 ชั่วโมงในการปลดล็อค สมาร์ทโฟน Android ที่ปลดล็อกยากที่สุดคือ Mi 11 Ultra นักวิจัยระบุว่าใช้เวลาประมาณ 2.78 ถึง 13.89 ชั่วโมงในการปลดล็อก

iPhone ค่อนข้างปลอดภัย

ในการพยายามปลดล็อก iPhone นักวิจัยไม่สามารถบรรลุเป้าหมายได้ นี่ไม่ได้หมายความว่าลายนิ้วมือของ Android อ่อนแอกว่าของ iPhone ส่วนใหญ่เป็นเพราะ Apple เข้ารหัสข้อมูลของผู้ใช้บน iPhone ด้วยข้อมูลที่เข้ารหัส การโจมตีของ BrutePrint ไม่สามารถเข้าถึงฐานข้อมูลลายนิ้วมือบน iPhone ได้ ด้วยเหตุนี้ จึงไม่มีทางที่รูปแบบการโจมตีนี้จะสามารถปลดล็อกลายนิ้วมือของ iPhone ได้

ผู้ใช้สมาร์ทโฟน Android จะมั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลของตนได้อย่างไร

ในฐานะผู้ใช้ ไม่มีอะไรที่คุณสามารถทำได้นอกจากการใช้รหัสผ่านและการป้องกันในรูปแบบอื่นๆ อย่างไรก็ตาม ขึ้นอยู่กับนักพัฒนา Android ที่จะใช้มาตรการพิเศษเพื่อความปลอดภัยของข้อมูลผู้ใช้ ในมุมมองนี้ นักวิจัย Yu Chen และ Yiling ได้ให้คำแนะนำบางประการ พวกเขาแนะนำว่าทีมพัฒนาจะจำกัดความพยายามในการบายพาส พวกเขายังเรียกร้องให้ Google เข้ารหัสข้อมูลทั้งหมดที่ส่งระหว่างเครื่องสแกนลายนิ้วมือและชิปเซ็ต

บทสรุป

คุณอาจสังเกตเห็นว่านักวิจัยใช้สมาร์ทโฟนรุ่นเก่าสำหรับการโจมตีที่เรียกว่า BrutePrint นี่เป็นเพราะสมาร์ทโฟน Android รุ่นใหม่มีความปลอดภัยมากขึ้นด้วยการอนุญาตแอพและข้อมูลความปลอดภัยของแอพที่เข้มงวดยิ่งขึ้น เมื่อพิจารณาจากวิธีที่นักวิจัยเหล่านี้ใช้ การโจมตี BrutePrint จะสามารถเจาะระบบความปลอดภัยของ Android ยุคใหม่ได้ยากมาก

Security Boulevard ยังให้ความมั่นใจแก่ผู้ใช้สมาร์ทโฟน Android รุ่นล่าสุดว่าไม่ต้องกังวล เนื่องจากการโจมตี BrutePrint อาจไม่ทำงานบนสมาร์ทโฟน Android ที่เป็นไปตามมาตรฐานล่าสุดของ Google

ที่มา/VIA: