Техно Смартфоны Обнаружена колоссальная уязвимость любого Android смартфона

Обнаружена колоссальная уязвимость любого Android смартфона

Автор:

Михаил Года

19:00, 26 мая 2023

3 мин

Читати новину українською

Android смартфоны уязвимы к грубой атаке из-за датчика отпечатков пальцев / Unsplash

Группа китайских исследователей из Tencent проявила уязвимость в системе аутентификации по отпечаткам пальцев на смартфонах Android, что вызывает беспокойство. Атака, получившая название BrutePrint, использует две уязвимости нулевого дня, что позволяет злоумышленникам разблокировать телефоны Android с помощью поддельных отпечатков пальцев.

Источник:

PhoneArena

Атака BrutePrint

Метод атаки BrutePrint, изобретенный Ю Ченом и Илингом Хэ, предполагает использование простого и недорогого инструмента, который стоит всего 15 долларов.

Инструмент состоит из печатной платы, снабженной микроконтроллером, аналоговым переключателем, флэш-картой SD и разъемом для соединения между платами. Для успешного проведения атаки злоумышленник должен иметь физический доступ к смартфону жертвы не менее 45 минут и обладать базой данных отпечатков пальцев.

Уязвимые устройства

Исследователи протестировали ряд телефонов на базе Android, в частности:

Xiaomi Mi 11 Ultra,
Vivo X60 Pro,
OnePlus 7 Pro,
OPPO Reno Ace,
Samsung Galaxy S10+,
OnePlus 5T,
Huawei Mate30 Pro 5G,
Huawei P40.

Кроме того, были оценены два iPhone – iPhone SE и iPhone 7. Тесты показали, что все восемь Android-устройств можно разблокировать с помощью метода BrutePrint.

Использование недостатков

Аутентификация смартфонов по отпечаткам пальцев обычно ограничивает количество попыток, чтобы предотвратить атаки грубой силы. Однако BrutePrint обходит эту защиту благодаря эталонному порогу, используемому в процессе аутентификации. Злоумышленники могут многократно пробовать разные входные данные, пока не найдут изображение, которое очень похоже на хранящуюся в базе данных отпечатков пальцев. В случае успеха, злоумышленник может разблокировать телефон и потенциально получить доступ к конфиденциальной информации или даже авторизовать платежи.

Фактор времени

Продолжительность атаки зависит от различных факторов, включая систему аутентификации по отпечаткам пальцев на целевом устройстве и количество отпечатков пальцев, хранящихся для аутентификации. Исследователи обнаружили, что время, необходимое для разблокировки устройств, составляло от 40 минут до 14 часов. Среди протестированных телефонов на Android быстрее всего подвергался разблокировке Samsung Galaxy S10+ (от 0,73 до 2,9 часа), а самый длинный – Xiaomi Mi 11 (от 2,78 до 13,89 часа).

Шифрование iOS обеспечивает защиту

В отличие от Android, iOS шифрует данные, обеспечивая дополнительный уровень безопасности, предотвращающий подобные атаки. Как следствие, iPhone оказались невосприимчивыми к методу BrutePrint. Однако устройства на Android находятся в зоне риска из-за отсутствия шифрования данных.

Читайте на сайте Проклятие дешевых смартфонов: миллионы устройств поставляются с установленным вредоносным ПО