Группа исследователей из компании Tencent и Чжэцзянского университета презентовала технику атаки BrutePrint. Она позволяет обойти методы защиты от подбора отпечатков пальцев на Android-устройствах.
Обычно подбору отпечатков пальцев мешает ограничение на число попыток, однако новый метод позволяет сделать этот подбор неограниченным.
Эффективность атаки испытали на 10 Android-устройствах разных производителей (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei). На подбор отпечатка пальца для разблокировки потребовалось от 2,9 до 13,9 часов, если пользователь зарегистрировал в системе только один отпечаток. Если регистрируется несколько отпечатков, то время перебора сокращается до 0,66–2,78 часа.
Однако такая атака требует физического доступа к устройству и подключения к плате специального оборудования, которое обойдётся в $15. Соответственно, метод можно применять для разблокировки изъятых, похищенных или потерянных телефонов.
При проведении атаки задействовали две существующие уязвимости в инструментарии SFA (Smartphone Fingerprint Authentication) в сочетании с отсутствием должной защиты протокола SPI. Первая из них (CAMF, Cancel-After-Match-Fail) приводит к тому, что в случае передачи некорректной контрольной суммы данных отпечатка проверка сбрасывается на финальной стадии без регистрации неудачной попытки, но с возможностью определения результата. Вторая уязвимость (MAL, Match-After-Lock) позволяет по сторонним каналам определить результат проверки, если система биометрической аутентификации переведена в режим временной блокировки после определённого числа неудачных попыток.
Эксплуатация уязвимостей становится возможной через подключение специальной платы между датчиком отпечатков пальцев и TEE-чипом (Trusted Execution Environment). Недоработка в организации защиты данных, передаваемых по шине SPI (Serial Peripheral Interface), позволяет попасть в канал передачи данных между датчиком и TEE, а затем организовать перехват снятых отпечатков и их подмену на собственные данные.
Кроме того, подключение через SPI позволяет произвести аутентификацию по имеющейся фотографии отпечатка жертвы без создания его макета для датчика.
Для подбора исследователи использовали словарный метод, основанный на коллекции изображений с отпечатками пальцев, попавших в открытый доступ в результате утечек. Для повышения эффективности работы с разными изображениями и увеличения вероятности ложной идентификации (FAR, False Acceptance Rate) они применили нейросеть, формирующую унифицированный поток данных с отпечатками в формате, совпадающем с форматом датчика. Это создавало эффект того, что данные отсканированы родным датчиком устройства.
В случае со смартфонами iOS только iPhone SE и iPhone 7 оказались уязвимы перед CAMF, но и в этом случае количество попыток проверки отпечатков пальцев удалось увеличить только до 15, чего недостаточно для подбора. А вот для атаки SPI MITM, которая включает в себя перехват изображения отпечатка пальца пользователя, все iPhone оказались неуязвимыми, поскольку они шифруют данные отпечатков в SPI.
В 2022 году исследователи из Чжэцзянского университета и Дармштадтского технического университета продемонстрировали атаку GhostTouch, которая позволяет бесконтактно проникнуть в устройство с сенсорным экраном. В ней используются электромагнитные помехи, которые позволяют «касаться» экрана без реального физического взаимодействия. В итоге хакер может дистанционно управлять целевым устройством на расстоянии до 40 мм.