Parmak izi tarayıcıyı atlamak için Android ve HarmonyOS'ta güvenlik açığı bulundu

Çinli kaşifler keşfettibirçok Android akıllı telefonun parmak izi güvenlik ihlallerine karşı savunmasız olduğu. Yeni yöntem kaba kuvvet saldırıları BrutePrint olarak adlandırılır.

BrutePrint, parmak iziyle oturum açma denemelerini artırmak için iki sıfır gün güvenlik açığından yararlanır parmaktan sonsuza kadar, genellikle akıllı telefon birkaç başarısızlıktan sonra bir şifre ister denemeler.

İstismar, Xiaomi Mi 11 Ultra ve OnePlus 7 Pro dahil olmak üzere altı popüler Android akıllı telefonun yanı sıra HarmonyOS ve parmak izi tarayıcılı iPhone'daki Huawei P40'ta doğrulandı. Android ve HarmonyOS söz konusu olduğunda, bir tarayıcı kullanarak sonsuz sayıda oturum açma girişimi elde etmek mümkün olsaydı, iPhone'da bu yöntem, deneme sayısını normal 5 yerine yalnızca 15'e çıkarabilir. Bir hack için yeterli değil.

Sonsuz denemeler aldıktan sonra, iki pano ve bir manipülatörden oluşan basit bir cihaz, tabanlardan akıllı telefona parmak izi görüntüleri besler. Akıllı telefon sistemi bunları tarayıcıdan gelen görüntüler olarak kabul edecek ve veritabanıyla kontrol edecek şekilde işlenirler. Bazı durumlarda, araştırmacılar uydurmayı hızlandırmak için yanlış pozitif kesme değerini bile manipüle edebildiler.

Saldırganın bilgisayar korsanlığı için cihaza fiziksel erişimin yanı sıra parmak izi veritabanlarına (açık akademik kaynaklardan veya biyometrik veri sızıntılarından) ihtiyacı olduğu belirtilmektedir. İstismar için gerekli ekipman ucuzdur: yaklaşık 15$'a monte edilebilir.

Bununla birlikte, bilgisayar korsanlığı da çok zaman alır: Kullanıcı tarama için yalnızca bir parmağını kaydettiyse 2,9 ila 13,9 saat. Akıllı telefonun belleğinde ne kadar çok parmak izi varsa, BrutePrint o kadar hızlı çalışır: hacklenmesi bir saatten az sürebilir.

Bu tür bilgisayar korsanlığı sistemlerinin kullanımı henüz bildirilmemiştir. Çoğu kullanıcının bu tür saldırıların hedefi olma olasılığı düşük olsa da bu teknoloji, Kayıp Modu için etkinleştirilmemiş çalıntı cihazlar için tehlikeli olabilir.