האם אתה מעוניין בהם מבצע? שמור עם הקופונים שלנו WHATSAPP o מברק!

זיהוי טביעות אצבע בסמארטפונים נמצא בסיכון

מחקר שנערך לאחרונה על ידי Tencent Labs e אוניברסיטת Zhejiang (דרך BeepingComputer) הביא לידי ביטוי סוג חדש של התקפה, שנקרא "מתקפת BrutePrint", אשר ניתן להשתמש בו כדי לפרוץ את מערכת זיהוי טביעות האצבע בסמארטפונים אנדרואיד ו-iOS. מתקפה זו מאפשרת לך להשתלט על המכשיר הנייד של אדם אחר, להתגבר על אמצעי האבטחה מיושם בסמארטפונים.

כיצד ניתן להשתמש במתקפת BrutePrint כדי לפרוץ את מערכת זיהוי טביעות האצבע בסמארטפונים של אנדרואיד ו-iOS

חוקרים הם הצליחו לעקוף הגנות סמארטפונים, כגון הגבלות על מספר ניסיונות זיהוי טביעות אצבע, על ידי ניצול שתי נקודות תורפה של יום אפס, הידועות בשם ביטול-אחרי-התאמה-כשל (CAMF) ו התאמה לאחר נעילה (MAL). על פי המאמר הטכני שפורסם, חוקרים זיהו פער בניהול נתונים ביומטריים של טביעת אצבע. המידע שעובר דרך ממשק SPI הוא מוגן בצורה לא מספקת, המאפשרת מתקפת אדם-באמצע (MITM) שיכולה לחטוף תמונות שנלכדו בטביעת אצבע במכשיר הנייד.

ממשק SPI (ממשק Serial Peripheral Interface) הוא פרוטוקול תקשורת טורית סינכרונית בשימוש נרחב באלקטרוניקה. פרוטוקול זה פותח על ידי מוטורולה בשנות ה-80 והוא להפוך לסטנדרט דה פקטו לתקשורת בין מכשירים דיגיטליים.

זיהוי טביעת אצבע

קראו גם: שיאומי רוצה לחולל מהפכה בפתיחת הנעילה של הטלפון החכם עם טביעת אצבע

התקפות BrutePrint ו-SPI MITM נבדקו בעשרה דגמי סמארטפונים פופולריים, וכתוצאה מכך ניסיונות כניסה בלתי מוגבלים של טביעת אצבע בכל המכשירים אנדרואיד e הרמוניה (Huawei) ועוד עשרה ניסיונות במכשירים iOS. המטרה של BrutePrint היא לבצע מספר בלתי מוגבל של שליחת תמונות טביעות אצבע למכשיר היעד עד שטביעת האצבע תזוהה כתקינה ומורשית לפתוח את הטלפון.

הפגיעות של BrutePrint ממוקמת בין חיישן טביעת האצבע לבין סביבת הביצוע המהימנה (TEE). התקפה זו מנצלת פגם כדי לתמרן את מנגנוני הזיהוי. על ידי הזנת שגיאה בנתוני טביעת האצבע, ה תהליך האימות הסתיים באופן חריג, המאפשר לתוקפים פוטנציאליים לבדוק טביעות אצבע במכשיר היעד מבלי שהוא ירשום את מספר ניסיונות ההתחברות הכושלים.

במבט ראשון, BrutePrint אולי לא נראה כמו התקפה אדירה בגלל ה צורך בגישה ממושכת למכשיר. עם זאת, הדבר הזה לא אמור להחליש את תשומת הלב של בעלי סמארטפונים.

תגיות:

ג'יאנלוקה קובוצ'י
ג'יאנלוקה קובוצ'י

נלהב מקוד, שפות ושפות, ממשקי אדם-מכונה. כל מה שהוא אבולוציה טכנולוגית מעניין אותי. אני מנסה לחשוף את התשוקה שלי בבהירות מרבית, בהסתמך על מקורות אמינים ולא "על המעבר הראשון".

הירשם
הודע
אורח

0 תגובות
משוב משוב
הצג את כל ההערות
XiaomiToday.it
לוגו