Изследователи в областта на сигурността са разработили нова атака, при която се използва оборудване на стойност 15 долара, за да се откраднат пръстови отпечатъци, съхранявани в устройства с Android. Наречена BrutePrint, атаката може да бъде извършена само за 45 минути, за да се отключи екранът на устройство с Android. Изглежда, че iPhone е имунизиран срещу експлойта.
За да демонстрират как работи BrutePrint за отгатване на пръстови отпечатъци на устройство, изследователите я тестваха на 10 смартфона. Сред тях бяха Xiaomi Mi 11 Ultra, vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 Plus, OnePlus 5T, HUAWEI Mate 30 Pro 5G, HUAWEI P40, Apple iPhone SE и Apple iPhone 7.
Телефоните са били свързани с платка за 15 долара. Атаката изисква и база данни с пръстови отпечатъци, подобни на тези, използвани в изследвания или изтекли при реални пробиви. След това BrutePrint може да се опита да отключи телефона неограничен брой пъти, като използва наличните данни за пръстови отпечатъци. За разлика от удостоверяването с парола, което изисква точно съвпадение, при удостоверяването с пръстов отпечатък съвпадението се определя чрез референтен праг. В резултат на това за разбиване на пръстов отпечатък е необходимо само достатъчно близко съвпадение с пръстов отпечатък, съхранен в базата данни.
Така по същество BrutePrint използва уязвимост в телефоните с Android, която позволява неограничено отгатване на пръстови отпечатъци. Той може да отключи целевото устройство веднага щом намери най-близкото съвпадение в приложената база данни с пръстови отпечатъци.
След като тестваха гореспоменатите телефони за уязвимостта им към BrutePrint, изследователите стигнаха до заключението, че времето за отключване на всеки телефон е различно. В зависимост от различни фактори, като например броя на пръстовите отпечатъци, съхранявани във всяко устройство за удостоверяване, и рамката за сигурност, използвана в конкретния телефон, отключването на дадено устройство отнема от 40 минути до 14 часа.
В този случай Samsung Galaxy S10 Plus отнема най-малко време (от 0.73 до 2.9 часа), а Xiaomi Mi 11 - най-много (от 2.78 до 13.89 часа). Можете да разгледате графиката по-горе, на която е изобразен процентът на успеваемост на BrutePrint на различните тествани устройства.
Въпреки че BrutePrint можеше успешно да открадне пръстови отпечатъци на устройства с Android, методът не работи както трябва на iPhone, срещу който се изправи. Това е така, защото iOS криптира данните, а Android - не.
Създателите на BrutePrint казват, че намаляването на заплахата ще изисква съвместни усилия между производителите на смартфони и сензори за пръстови отпечатъци. "Проблемите могат да бъдат смекчени и в операционните системи", пишат изследователите.
Снимка: Unsplash
Виж още: Топенето на лед в Гренландия и Антарктида съставлява 25% от покачването на морското равнище