Maaring gamitin ang mga pekeng fingerprint para i-unlock ang ilang Android phone, ayon sa Tencent’s Yu Chen at Zhejiang University’s Yiling He (sa pamamagitan ng Ars Technica).
Natuklasan ng mga mananaliksik na dalawang zero-Ang mga kahinaan sa araw na nasa framework ng pagpapatunay ng fingerprint ng halos lahat ng mga smartphone ay maaaring gamitin upang i-unlock ang mga Android handset.
Pinangalanang BrutePrint ang pag-atake. Nangangailangan ito ng $15 na circuit board na may microcontroller, analog switch, SD flash card, at board-to-board connector. Kakailanganin ding hawak ng umaatake ang smartphone ng biktima nang hindi bababa sa 45 minuto at kakailanganin din ng database ng mga fingerprint. Sinubukan ng mga mananaliksik ang walong Android phone- Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5Gand Huawei P40-at dalawang iPhone- iPhone SE at iPhone 7. Binibigyang-daan ng mga smartphone ang limitadong bilang ng mga pagsubok sa fingerprint ngunit maaaring lampasan ng BrutePrint ang limitasyong iyon. Ang proseso ng pag-authenticate ng fingerprint ay hindi nangangailangan ng direktang tugma sa pagitan ng mga nai-input na halaga at ang halaga ng database. Gumagamit ito ng reference na threshold para matukoy ang isang tugma. Maaaring samantalahin ito ng isang masamang aktor sa pamamagitan ng pagsubok ng iba’t ibang input hanggang sa gumamit sila ng larawan na halos kamukha ng naka-imbak sa fingerprint database.
Kakailanganin ng umaatake na tanggalin ang likod na takip ng telepono upang ilakip ang $15 na circuit board at isagawa ang pag-atake. Nai-unlock ng mga mananaliksik ang lahat ng walong Android phone gamit ang pamamaraan. Kapag na-unlock na ang isang telepono, magagamit din ito para pahintulutan ang mga pagbabayad.
Ligtas ang iPhone dahil nag-e-encrypt ang iOS ng data
Ang pag-authenticate ng fingerprint ng smartphone ay gumagamit ng serial peripheral interface para ikonekta ang isang sensor at ang smartphone chip. Dahil hindi nag-e-encrypt ng data ang Android, madaling nakawin ng BrutePrint ang mga larawang nakaimbak sa mga target na device.
Security Boulevard na ang mga may-ari ng mga bagong Android phone ay hindi kailangang mag-alala dahil malamang na hindi gagana ang pag-atake sa mga teleponong sumusunod sa pinakabagong mga pamantayan ng Google.