Техно Смартфони Виявлено колосальну вразливість будь-якого Android смартфона

Виявлено колосальну вразливість будь-якого Android смартфона

Автор:

Михайло Года

19:00, 26 травня 2023

3 хв

Читать новость на русском

Android смартфони вразливі до грубої атаки через датчик відбитків пальців / Unsplash

Група китайських дослідників з Tencent виявила вразливість у системі автентифікації за відбитками пальців на смартфонах Android, що викликає занепокоєння. Атака, що отримала назву BrutePrint, використовує дві вразливості нульового дня, що дозволяє зловмисникам розблокувати телефони Android за допомогою підроблених відбитків пальців.

Джерело:

PhoneArena

Атака BrutePrint

Метод атаки BrutePrint, винайдений Ю Ченом та Ілінгом Хе, передбачає використання простого і недорогого інструменту, який коштує всього 15 доларів.

Дивіться також Конфіденційність на першому місці: на які технології звернути увагу перед купівлею смартфона

Інструмент складається з друкованої плати, оснащеної мікроконтролером, аналоговим перемикачем, флеш-картою SD і роз'ємом для з'єднання між платами. Для успішного проведення атаки зловмисник повинен мати фізичний доступ до смартфону жертви протягом щонайменше 45 хвилин і володіти базою даних відбитків пальців.

Вразливі пристрої

Дослідники протестували низку телефонів на базі Android, зокрема:

Xiaomi Mi 11 Ultra,
Vivo X60 Pro,
OnePlus 7 Pro,
OPPO Reno Ace,
Samsung Galaxy S10+,
OnePlus 5T,
Huawei Mate30 Pro 5G,
Huawei P40.

Крім того, були оцінені два iPhone - iPhone SE та iPhone 7. Тести показали, що всі вісім Android-пристроїв можна розблокувати за допомогою методу BrutePrint.

Використання недоліків

Аутентифікація смартфонів за відбитками пальців зазвичай обмежує кількість спроб, щоб запобігти атакам грубої сили. Однак BrutePrint обходить цей захист завдяки еталонному порогу, який використовується в процесі автентифікації. Зловмисники можуть багаторазово пробувати різні вхідні дані, поки не знайдуть зображення, яке дуже схоже на те, що зберігається в базі даних відбитків пальців. У разі успіху зловмисник може розблокувати телефон і потенційно отримати доступ до конфіденційної інформації або навіть авторизувати платежі.

Фактор часу

Тривалість атаки залежить від різних факторів, включаючи систему автентифікації за відбитками пальців на цільовому пристрої та кількість відбитків пальців, що зберігаються для автентифікації. Дослідники виявили, що час, необхідний для розблокування пристроїв, становив від 40 хвилин до 14 годин. Серед протестованих телефонів на Android найшвидше піддавався розблокуванню Samsung Galaxy S10+ (від 0,73 до 2,9 години), а найдовше – Xiaomi Mi 11 (від 2,78 до 13,89 години).

Шифрування iOS забезпечує захист

На відміну від Android, iOS шифрує дані, забезпечуючи додатковий рівень безпеки, який запобігає подібним атакам. Як наслідок, iPhone виявилися несприйнятливими до методу BrutePrint. Однак пристрої на Android перебувають у зоні ризику через відсутність шифрування даних.

Читайте на сайті Прокляття дешевих смартфонів: мільйони пристроїв постачаються зі встановленим шкідливим ПЗ