Η ασφάλεια του τηλεφώνου Android πέφτει σταθερά έναντι του εργαλείου $15, αλλά τα iPhone είναι ασφαλή

On

Μάι 25, 2023

Πρώην προγραμματιστές του Cyberpunk 2077 και του Witcher 3…

Αυτά τα tablet Samsung Galaxy μόλις πέτυχαν τις καλύτερες…

Στατική IP έναντι δυναμικής IP: Ποια είναι η διαφορά;

Τα ψεύτικα δακτυλικά αποτυπώματα μπορούν να χρησιμοποιηθούν για το ξεκλείδωμα ορισμένων τηλεφώνων Android, σύμφωνα με τον Yu Chen της Tencent και τον Yiling He του Πανεπιστημίου Zhejiang (μέσω

Ars Technica

).

Οι ερευνητές ανακάλυψαν ότι δύο τρωτά σημεία μηδενικής ημέρας που υπάρχουν στο πλαίσιο ελέγχου ταυτότητας με δακτυλικά αποτυπώματα σχεδόν όλων των smartphone μπορούν να αξιοποιηθούν για να ξεκλειδώσουν συσκευές Android.

Η επίθεση ονομάστηκε BrutePrint. Απαιτεί μια πλακέτα κυκλώματος 15 $ με μικροελεγκτή, αναλογικό διακόπτη, κάρτα SD flash και υποδοχή πλακέτας σε πλακέτα. Ο εισβολέας θα πρέπει επίσης να έχει στην κατοχή του το smartphone του θύματος για τουλάχιστον 45 λεπτά και θα απαιτείται επίσης μια βάση δεδομένων με δακτυλικά αποτυπώματα.

Οι ερευνητές εξέτασαν οκτώ Τηλέφωνα Android – Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5Gand Huawei P40 – και δύο iPhone – iPhone SE και iPhone 7.

Τα smartphone επιτρέπουν περιορισμένο αριθμό προσπαθειών δακτυλικών αποτυπωμάτων, αλλά το BrutePrint μπορεί να παρακάμψει αυτό το όριο. Η διαδικασία ελέγχου ταυτότητας με δακτυλικό αποτύπωμα δεν χρειάζεται άμεση αντιστοίχιση μεταξύ των εισαγόμενων τιμών και της τιμής της βάσης δεδομένων. Χρησιμοποιεί ένα όριο αναφοράς για να καθορίσει μια αντιστοίχιση. Ένας κακός ηθοποιός μπορεί να επωφεληθεί από αυτό δοκιμάζοντας διαφορετικές εισόδους μέχρι να χρησιμοποιήσει μια εικόνα που μοιάζει πολύ με αυτήν που είναι αποθηκευμένη στη βάση δεδομένων δακτυλικών αποτυπωμάτων.

Ο εισβολέας θα χρειαστεί να αφαιρέσει το πίσω κάλυμμα του τηλεφώνου για να συνδέσει την πλακέτα κυκλώματος $15 και να πραγματοποιήσει την επίθεση. Οι ερευνητές κατάφεραν να ξεκλειδώσουν και τα οκτώ τηλέφωνα Android χρησιμοποιώντας τη μέθοδο. Μόλις ξεκλειδωθεί ένα τηλέφωνο, μπορεί επίσης να χρησιμοποιηθεί για την εξουσιοδότηση πληρωμών.

Ο έλεγχος ταυτότητας δακτυλικών αποτυπωμάτων smartphone χρησιμοποιεί μια σειριακή περιφερειακή διεπαφή για τη σύνδεση ενός αισθητήρα και του τσιπ smartphone. Δεδομένου ότι το Android δεν κρυπτογραφεί δεδομένα, το BrutePrint μπορεί να κλέψει εικόνες που είναι αποθηκευμένες στη συσκευή-στόχο.

Λεωφόρος Ασφαλείας

λέει ότι οι κάτοχοι νέων τηλεφώνων Android δεν χρειάζεται να ανησυχούν, καθώς η επίθεση πιθανότατα δεν θα λειτουργήσει σε τηλέφωνα που ακολουθούν τα πιο πρόσφατα πρότυπα της Google.

phonearena.com