Van mód az Android-eszközök ujjlenyomatainak brute force feltörésére, és az okostelefonhoz való fizikai hozzáféréssel, valamint elegendÅ‘ idÅ‘vel egy hacker képes lenne feloldani a készüléket - állítja a Tencent Labs és a Zhejiang Unversity kiberbiztonsági kutatóinak jelentése.
A jelentés szerint két nulladik napi sebezhetÅ‘ség van jelen az androidos készülékekben (valamint az Apple iOS és a Huawei HarmonyOS rendszerével működÅ‘ készülékekben), a Cancel-After-Match-Fail (CAMF) és a Match-After-Lock (MAL) nevűek.
Ezekkel a hibákkal visszaélve a kutatóknak két dolgot sikerült elérniük: az Android végtelen számú ujjlenyomat-olvasási kísérletet tett lehetÅ‘vé; valamint tudományos adathalmazokban, biometrikus adatszivárgásokban és hasonlókban található adatbázisokat használtak fel.
A támadások végrehajtásához a támadóknak néhány dologra volt szükségük: fizikai hozzáférésre egy Android-alapú okostelefonhoz, elegendÅ‘ idÅ‘re és 15 dollár értékű hardverre.
A kutatók a támadást "BrutePrint"-nek nevezték el, és azt állítják, hogy egy olyan eszköz esetében, amelyen csak egy ujjlenyomat van beállítva, 2,9 és 13,9 óra között van szükség a végpont feltöréséhez. A több ujjlenyomat-felvétellel rendelkezÅ‘ eszközöket lényegesen könnyebb feltörni - tették hozzá -, a "brute-printing" átlagos ideje 0,66 óra és 2,78 óra között van.
A kutatók tíz "népszerű okostelefonon", valamint néhány iOS-eszközön futtatták le a tesztet. Azt nem tudni, hogy pontosan mely modellek voltak sebezhetÅ‘ek, de elmondásuk szerint Android és HarmonyOS készülékeken sikerült végtelen próbálkozást elérni.
Az iOS eszközök esetében azonban csak az iPhone SE és iPhone 7 modelleken sikerült tíz próbálkozást elérni, ami nem elég a támadás sikeres végrehajtásához. A következtetés tehát az, hogy bár az iOS sebezhetÅ‘ lehet ezekkel a hibákkal szemben, a jelenlegi módszer, a készülékbe való betörés brute force-szal nem lesz elegendÅ‘.
Bár ez a fajta támadás nem biztos, hogy annyira vonzó a hétköznapi hackerek számára, a bűnüldözÅ‘ szervek felhasználhatják - állapították meg a kutatók.
