Sårbarhet som finns i Android och HarmonyOS för att kringgå fingeravtrycksläsaren

kinesiska upptäcktsresande upptäcktatt många Android-smarttelefoner är sårbara för intrång i fingeravtryckssäkerheten. Ny metod brute force attacker kallas BrutePrint.

BrutePrint utnyttjar två nolldagars sårbarheter för att öka inloggningsförsöken med fingeravtryck finger till oändligheten, medan vanligtvis smarttelefonen ber om ett lösenord efter flera misslyckade Försök.

Exploateringen bekräftades på sex populära Android-smarttelefoner, inklusive Xiaomi Mi 11 Ultra och OnePlus 7 Pro, samt Huawei P40 på HarmonyOS och iPhone med fingeravtrycksläsare. Om det i fallet med Android och HarmonyOS var möjligt att få ett oändligt antal inloggningsförsök med en skanner, kan denna metod på iPhone bara öka antalet försök till 15 istället för de vanliga 5. Det räcker inte för ett hack.

Efter att ha fått oändliga försök, matar en enkel enhet med två kort och en manipulator fingeravtrycksbilder från baser till smarttelefonen. De bearbetas så att smarttelefonsystemet betraktar dem som bilder från skannern och kontrollerar med sin databas. I vissa fall har forskare till och med kunnat manipulera det falska positiva gränsvärdet för att påskynda anpassningen.

Det noteras att för hackning behöver en angripare fysisk åtkomst till enheten, såväl som fingeravtrycksdatabaser (från öppna akademiska källor eller biometriska dataläckor). Utrustningen som krävs för exploateringen är billig: den kan monteras för cirka $15.

Men att hacka tar också mycket tid: från 2,9 till 13,9 timmar om användaren bara har registrerat ett finger för skanning. Ju fler fingeravtryck det finns i smarttelefonens minne, desto snabbare går BrutePrint: det kan ta mindre än en timme att hacka.

Användningen av sådana hacksystem har ännu inte rapporterats. Även om det är osannolikt att de flesta användare är måltavla för sådana attacker, kan denna teknik vara farlig för stulna enheter som inte har aktiverats för Lost Mode.