Hakerzy mogą przejąć odcisk Twojego palca

Przed cyberprzestępcami nie ma ucieczki. Nawet zabezpieczenia biometryczne nie stanowią całkowitej ochrony. Hakerzy mogą przejąć odcisk Twojego palca, a w konsekwencji kontrolę nad smartfonem.

  • Damian Jemioło
  • /
  • 6 czerwca 2023

Cyberprzestępcy wykorzystują dane biometryczne

Badacze ds. cyberbezpieczeństwa odkryli tanie narzędzie, pozwalające cyberprzestępcą przejmować odciski palców i w konsekwencji uzyskiwać kontrole nad cudzymi urządzeniami mobilnymi.

6(15) 2023 SECURITY MAGAZINE6(15) 2023 SECURITY MAGAZINEMonika Świetlińska

Metoda ta, nazwana BrutePrint, korzysta z 2 luk w systemie uwierzytelniania odcisków palców w smartfonach. Luki te powstają z powodu niewystarczającego zabezpieczenia danych w czujnikach telefonów.

Atak polega na działaniu jako pośrednik między czytnikiem linii papilarnych a środowiskiem Trusted Execution Environment (TEE). Dzięki temu cyberprzestępca ma możliwość wysyłania nieograniczonej liczby obrazów odcisków palców, dopóki nie zostanie znalezione dopasowanie. Jednak wymaga to posiadania fizycznego dostępu do urządzenia docelowego.

Twój odcisk palca wcale nie jest bezpieczny

Badacze wykorzystują dwie luki w systemie. Pierwsza z nich, Cancel-After-Match-Fail (CAMF), pozwala na unieważnienie sumy kontrolnej danych odcisków palców, umożliwiając atakującemu nieograniczoną liczbę prób. Druga luka, Match-After-Lock (MAL), wykorzystuje kanał boczny do wnioskowania o dopasowaniu obrazów odcisków palców. Nawet jeśli urządzenie weszło w tryb blokady po wielu nieudanych próbach logowania.

Eksperyment przeprowadzono na 10 modelach smartfonów różnych producentów. Badacze uzyskali w ten sposób nieograniczoną liczbę prób na urządzeniach z systemem Android i HarmonyOS oraz 10 dodatkowych prób na urządzeniach z systemem iOS.

Odkrycia te pojawiły się w kontekście badań nad hybrydowym kanałem bocznym, który wykorzystuje procesory graficzne do ataków i analizowania historii przeglądanych stron. Odkryto również atak o nazwie Hot Pixels, wykorzystujący zachowanie przeglądarek internetowych do pobierania odcisków palców i zbierania historii przeglądania użytkownika.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Bigtechy dostrzegają problem

Badacze zalecają zakaz stosowania filtrów SVG w niektórych elementach stron internetowych oraz zapobieganie nieuprawnionemu dostępowi do odczytu czujników. 

Nie klikaj tego.ZIP! Cyberprzestępcy znaleźli nowy sposób na oszustwaNie klikaj tego.ZIP! Cyberprzestępcy znaleźli nowy sposób na oszustwaDamian Jemioło

Również firmy takie jak Apple, Google, AMD, Intel, Nvidia i Qualcomm potwierdziły te problemy i są świadome konieczności naprawienia tych luk w zabezpieczeniach. To odkrycie stanowi poważne wyzwanie dla bezpieczeństwa biometrycznego na smartfonach.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!