Android telefone moguće je otključati opremom od 15 dolara

Bezbednosni istraživači su razvili novu metodu napada koja koristi opremu vrednu 15 dolara kako bi preuzela otiske prstiju sa Android uređaja (prema informacijama sa ArsTechnica). Nazvan BrutePrint, ovaj napad može biti izvršen za samo 45 minuta kako bi otključao ekran Android uređaja. I čini se da su iPhone uređaji imuni na ovaj napad.

Da bi prikazali kako BrutePrint funkcioniše pri pokušaju pogotka otisaka prstiju na uređaju, istraživači su ga testirali na 10 pametnih telefona. Uključeni su Xiaomi Mi 11 Ultra, vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 Plus, OnePlus 5T, HUAWEI Mate 30 Pro 5G, HUAWEI P40, Apple iPhone SE i Apple iPhone 7.

Telefoni su bili povezani sa 15 dolara vrednom pločom. Napad takođe zahteva bazu podataka otisaka prstiju, slično onima koje se koriste u istraživanjima ili procurelim podacima iz stvarnih incidenata. BrutePrint zatim može pokušati otključavanje telefona neograničen broj puta koristeći dostupne podatke o otiscima prstiju. Za razliku od autentifikacije lozinkom koja zahteva tačno poklapanje, autentifikacija otiskom prsta određuje poklapanje koristeći određeni prag. Kao rezultat, za probijanje otiska prsta je potrebno samo dovoljno blisko poklapanje sa otiskom prsta koji je smešten u bazi podataka.



U suštini, BrutePrint iskorišćava ranjivost u Android telefonima koja omogućava neograničen broj pokušaja pogotka otisaka prstiju. Može otključati ciljani uređaj čim pronađe najbliže poklapanje u bazi podataka otisaka prstiju.

Nakon testiranja pomenutih telefona kako bi se utvrdila njihova ranjivost na BrutePrint, istraživači su zaključili da je vreme potrebno za otključavanje svakog telefona bilo različito. Vreme zavisi od različitih faktora, poput broja otisaka prstiju koji su sačuvani na uređaju za autentifikaciju i korišćenog sigurnosnog okvira na određenom telefonu, i kreće se od 40 minuta do 14 sati.



Na grafikonu se može videti uspešnost napada BrutePrint na različitim testiranim uređajima. Samsung Galaxy S10 Plus je pokazao najkraće vreme potrebno za otključavanje (od 0,73 do 2,9 sata), dok je Xiaomi Mi 11 zahtevao najduže vreme (od 2,78 do 13,89 sati). Možete pogledati grafikon iznad koji prikazuje uspešnost BrutePrint napada na različitim uređajima.

Važno je napomenuti da BrutePrint napad nije uspeo na iPhone uređajima. To je zato što iOS enkriptuje podatke, dok Android to ne čini.

Kreatori BrutePrint napada ističu da je potrebna zajednička akcija između proizvođača pametnih telefona i proizvođača senzora otiska prsta kako bi se smanjila ova pretnja. "Problemi se takođe mogu ublažiti u operativnim sistemima", napisali su istraživači.

U svakom slučaju, korisnicima se savetuje da redovno ažuriraju svoje uređaje sa najnovijim sigurnosnim zakrpama i da budu oprezni pri korišćenju funkcija otiska prsta za autentifikaciju.

Kategorija: Bezbednost istaknuta Mobilni widget