によって行われた最近の研究 テンセントラボ e 浙江大学 (ビア ビープ音コンピューター) と呼ばれる新しいタイプの攻撃が明らかになりました。ブルートプリント攻撃これは、Android および iOS スマートフォンの指紋認識システムをハッキングするために使用される可能性があります。 この攻撃により、他人のモバイルデバイスを制御することができます。 セキュリティ対策を乗り越える スマートフォンに実装されています。
BrutePrint 攻撃を使用して Android および iOS スマートフォンの指紋認識システムをハッキングする方法
研究者 彼らは成功した として知られる XNUMX つのゼロデイ脆弱性を悪用して、指紋認識の試行回数の制限などのスマートフォンの防御を回避します。 マッチ失敗後のキャンセル (CAMF) と ロック後の一致 (MAL)。 公開された技術論文によると、学者らは指紋生体認証データの管理におけるギャップを特定したという。 SPIインターフェイスを通過する情報は次のとおりです。 不十分に保護されている、モバイル デバイス上でキャプチャされた指紋画像をハイジャックできる中間者 (MITM) 攻撃を可能にします。
インターフェース SPI (Serial Peripheral Interface) は、電子機器で広く使用されている同期シリアル通信プロトコルです。 このプロトコルは 80 年代に Motorola によって開発され、 事実上の標準になる デジタル機器間の通信に。
も参照してください。 Xiaomiは指紋によるスマートフォンのロック解除に革命を起こしたいと考えている
BrutePrint および SPI MITM 攻撃は、人気のあるスマートフォン XNUMX モデルでテストされ、すべてのデバイスで無制限の指紋ログイン試行が行われました。 Android e HarmonyOS (Huawei) およびデバイスでさらに XNUMX 回の試行 iOS. BrutePrint の目標は、指紋が有効であると認識され、電話のロックを解除することが許可されるまで、ターゲット デバイスに指紋画像を無制限に送信することです。.
BrutePrint の脆弱性は、指紋センサーと信頼された実行環境 (TEE) の間に存在します。 この攻撃は欠陥を悪用して検出メカニズムを操作します。 指紋データにエラーを入力すると、 認証プロセスが異常終了しましたこれにより、潜在的な攻撃者がログイン試行の失敗回数を記録せずにターゲット デバイスの指紋をテストできるようになります。
一見すると、BrutePrint は強力な攻撃のようには見えないかもしれません。 デバイスに長時間アクセスする必要がある。 しかし、このことがスマートフォン所有者の注意を弱めるべきではありません。
