Существует способ «грубой силы» отпечатков пальцев на устройствах Android и при физическом доступе к смартфону, и достаточно времени, чтобы хакер смог разблокировать устройство, говорится в отчете исследователей кибербезопасности из Tencent Labs и Zhejiang Unversity.
Согласно отчету, в устройствах Android (а также устройствах на базе iOS от Apple и HarmonyOS от Huawei) присутствуют две уязвимости нулевого дня, называемые Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL). .
Злоупотребляя этими недостатками, исследователям удалось сделать две вещи: сделать так, чтобы Android позволял бесконечное количество попыток сканирования отпечатков пальцев; и использовать базы данных, найденные в академических наборах данных, утечках биометрических данных и т.п.
Дешевое оборудование
Чтобы осуществить атаки, злоумышленникам требовалось несколько вещей: физический доступ к смартфону на базе Android, достаточно времени и оборудование стоимостью 15 долларов.
Исследователи назвали атаку «BrutePrint» и утверждают, что для устройства, на котором настроен только один отпечаток пальца, потребуется от 2,9 до 13,9 часов, чтобы проникнуть в конечную точку. Они добавили, что устройства с несколькими записями отпечатков пальцев значительно легче взломать, при этом среднее время «грубой печати» составляет от 0,66 до 2,78 часов.
Исследователи провели тест на десяти «популярных моделях смартфонов», а также на паре устройств iOS. Мы не знаем точно, какие модели были уязвимы, но они сказали, что на устройствах Android и HarmonyOS им удалось добиться бесконечных попыток. Однако для устройств iOS им удалось получить только десять дополнительных попыток на моделях iPhone SE и iPhone 7, чего недостаточно для успешного проведения атаки. Таким образом, можно сделать вывод, что, хотя iOS может быть уязвима для этих недостатков, текущего метода взлома устройства с помощью грубой силы будет недостаточно.
Исследователи пришли к выводу, что хотя этот тип атаки может быть не таким привлекательным для обычного хакера, его могут использовать спонсируемые государством субъекты и правоохранительные органы.
С помощью: Пищит Компьютер
