Tencent'ten Yu Chen ve Zhejiang Üniversitesi'nden Yiling He'ye göre sahte parmak izleri bazı Android telefonların kilidini açmak için kullanılabilir durumda.
Araştırmacılar, neredeyse tüm akıllı telefonların parmak izi kimlik doğrulama çerçevesinde bulunan iki sıfırıncı gün güvenlik açığının Android telefonların kilidini açmak için kullanılabileceğini keşfettiler.
Saldırıya BrutePrint adı verildi. Mikrodenetleyici, analog anahtar, SD flash kart ve karttan karta konektör içeren 15 dolarlık bir devre kartı kullanılarak aşılabilen bu parmak izi kilitleriye ilgili olarak, saldırganın ayrıca kurbanın akıllı telefonuna en az 45 dakika boyunca sahip olması ve parmak izlerinden oluşan bir veri tabanına da erişebilmesine ihtiyaç duyuluyor.
Yöntem Birçok Android ve iPhone Modelinde Denendi
Araştırmacılar konuyla ilgili olarak sekiz Android telefonu (Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G ve Huawei P40) ve iki iPhone'u (iPhone SE ve iPhone 7) test etti.
Akıllı telefonlar sınırlı sayıda parmak izi denemesine izin veriyor ancak BrutePrint bu sınırı aşabiliyor. Parmak izi kimlik doğrulama işlemi, girilen değerler ile veritabanı değeri arasında doğrudan bir eşleşmeye ihtiyaç duymuyor ve bir eşleşme belirlemek için bir referans eşiği kullanıyor. Kötü niyetli bir kişi, parmak izi veritabanında saklanana çok benzeyen bir görüntü kullanana kadar farklı girdiler deneyerek bundan faydalanabiliyor.
Security Boulevard, konuyla ilgili olarak saldırının Google'ın en son standartlarını takip eden telefonlarda muhtemelen çalışmayacağı için yeni Android telefon sahiplerinin endişelenmesine gerek olmadığını söylüyor.
YORUMLAR