حمله آزمایشی Brute-Force دفاع بیومتریک اندروید را دور می زند

آگوست 5, 2023می 22, 2023 از عیسی زارع پور

بیومتریک روی سینما هم تاثیر دارد. فیلم‌هایی مانند «جاسوسی که مرا رها کرد»، «تعادل‌کننده ۲» و «آرزوی مرگ» به‌صورت طنز-و احمقانه- نشان می‌دهد که مردم از انگشتان افراد مرده برای دسترسی به تلفن استفاده می‌کنند و حتی آن‌ها را قطع می‌کنند.

محققان دانشگاه ژجیانگ و Tencent Labs از آسیب‌پذیری‌های اسکنرهای اثر انگشت مدرن گوشی‌های هوشمند استفاده کردند تا عملیات شکستن خود را که BrutePrint نامیدند، انجام دهند. یافته های آنها در سایت منتشر شده است arXiv سرور پیش چاپ

این برگه یا سند یا نوشته تحت پوشش قانون کپی رایت است. به غیر از هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوای مذکور فقط به هدف اطلاع رسانی ایجاد شده است.

منبع اما جدای از پتانسیل حملات سایبری مانند BrutePrint، مشکلات دیگری در مورد شناسایی اثر انگشت وجود دارد. اثر انگشت جعلی و اثر باقیمانده بر روی صفحه‌نمایش دستگاه، راه ورود به سوء استفاده است.

نقل قول: حمله آزمایشی Brute-force دفاع بیومتریک اندروید را دور می زند (2023، 22 می) بازیابی شده در 22 مه 2023 از

امنیت بیومتریک یک معیار امنیتی پیشرو در دستگاه های دیجیتال است. اثر انگشت و تشخیص چهره به رمز عبور و شماره پین ارجحیت دارند زیرا جعل کردن آنها سخت تر است، استفاده از آن آسان تر است (بدون نیاز به حفظ کردن) و نمی توان آن را بین کاربران منتقل کرد.

البته این فقط در هالیوود جواب می دهد. اسکنرهای اثر انگشت امروزی نه تنها الگوهای پوست را تایید می‌کنند، بلکه وجود بافت زنده ساکن در لایه‌های زیرین پوست و همچنین بارهای الکتریکی خفیفی را که در بدن همه ما می‌گذرد، شناسایی و نیاز دارند، اما فقط زمانی که زنده هستیم… انگشتان ما به هم چسبیده اند

بخوان باگ جدید توئیتر باعث نگرانی بسیاری از کاربران شده است

یک فروشنده مواد مخدر بدشانس از لیورپول به روش سختی پی برد که اثر انگشت را می توان به روش های غیرمنتظره ای شناسایی کرد. پس از انتشار تصویری از خود در حالی که بسته‌ای از یکی از غذاهای مورد علاقه‌اش، پنیر استیلتون را در دست داشت، پلیس عکس را مشاهده کرد، اثر انگشت او را ردیابی کرد و پس از ربط دادن این اثر به جنایات، او را دستگیر کرد.

محققان دانشگاه ژجیانگ گفتند “تهدید بی سابقه ای” که آنها کشف کردند مستلزم تقویت سیستم عامل و همکاری بیشتر بین تولیدکنندگان گوشی های هوشمند و حسگر اثر انگشت برای رفع آسیب پذیری های موجود است.

و یک ویژگی طراحی شده برای محدود کردن تعداد تلاش‌های ناموفق برای تطبیق اثر انگشت – Cancel-After-Match-Fail (CAMF) – دارای نقصی است که به محققان اجازه می‌دهد تا یک خطای جمع کنترلی را که حفاظت CAMF را غیرفعال می‌کند، تزریق کنند.

حفاظت ناکافی از داده‌های بیومتریک ذخیره‌شده در رابط محیطی سریال حسگرهای اثرانگشت، مهاجمان را قادر می‌سازد تا تصاویر اثر انگشت را بدزدند. نمونه ها را نیز می توان به راحتی از مجموعه داده های دانشگاهی یا از نشت داده های بیومتریک به دست آورد.

حمله آزمایشی Brute-Force دفاع بیومتریک اندروید را دور می زند — نمونه ای از اجرای حمله bruteforce اثر انگشت خودکار، که از یک برد حمله قابل سرکوب، یک کلیک خودکار سخت افزاری و یک برد عملیاتی اختیاری استفاده می کند. اعتبار: *arXiv* (2023). DOI: 10.48550/arxiv.2305.10791

نقصی در ویژگی Match-After-Lock، که قرار است پس از قرار گرفتن دستگاه در حالت قفل شدن، فعالیت احراز هویت را مسدود کند، لغو شد تا محقق بتواند به ارسال تعداد نامحدودی از نمونه‌های اثر انگشت ادامه دهد.

علاوه بر این، BrutePrint تصاویر اثر انگشت به‌دست‌آمده غیرقانونی را تغییر داد تا به‌نظر برسد که توسط دستگاه مورد نظر اسکن شده‌اند. این مرحله شانس معتبر تلقی شدن تصاویر توسط اسکنر اثر انگشت را افزایش داد.

همه دستگاه‌های اندروید و یک دستگاه HarmonyOS (Huawei) که توسط محققان آزمایش شده‌اند حداقل یک نقص داشتند که امکان شکستن را فراهم می‌کرد. به دلیل مکانیسم‌های دفاعی سخت‌تر در دستگاه‌های IOS، به‌ویژه Apple iPhone SE و iPhone 7، این دستگاه‌ها قادر به مقاومت در برابر تلاش‌های وارده با نیروی بی‌رحمانه بودند. محققان خاطرنشان کردند که دستگاه‌های آیفون در معرض آسیب‌پذیری‌های CAMF هستند، اما نه به اندازه‌ای که بتوان به آن ورود موفقیت‌آمیز داشت.

محققان چینی می گویند که با انجام یک حمله بی رحمانه، با موفقیت از پادمان های احراز هویت اثر انگشت در تلفن های هوشمند عبور کردند.

پایگاه داده های اثر انگشت به صورت آنلاین از طریق منابع دانشگاهی در دسترس هستند، اما هکرها به احتمال زیاد به حجم عظیمی از تصاویر به دست آمده از طریق نقض داده ها دسترسی خواهند داشت. آژانس های مجری قانون از 18 کشور ماه گذشته اعلام کردند که یک بازار غیرقانونی بزرگ را برای هویت های سرقت شده تعطیل کرده اند. جنسیس مارکت که دارای اثر انگشت دیجیتال و سایر داده‌های دیجیتال خصوصی است، تا 80 میلیون اعتبار را برای فروش ارائه می‌کرد.

اطلاعات بیشتر:
یو چن و همکاران، BrutePrint: احراز هویت اثر انگشت گوشی هوشمند را در معرض حمله Brute-force قرار دهید، arXiv (2023). DOI: 10.48550/arxiv.2305.10791

اطلاعات مجله:
arXiv

برای راه اندازی موفقیت آمیز نفوذ، یک مهاجم نیاز به دسترسی فیزیکی به تلفن مورد نظر برای چندین ساعت، یک برد مدار چاپی به راحتی با قیمت 15 دلار و دسترسی به تصاویر اثر انگشت دارد.