Hakerzy mogą przejąć odcisk Twojego palca
Przed cyberprzestępcami nie ma ucieczki. Nawet zabezpieczenia biometryczne nie stanowią całkowitej ochrony. Hakerzy mogą przejąć odcisk Twojego palca, a w konsekwencji kontrolę nad smartfonem.
- Damian Jemioło
- /
- 6 czerwca 2023
Cyberprzestępcy wykorzystują dane biometryczne
Badacze ds. cyberbezpieczeństwa odkryli tanie narzędzie, pozwalające cyberprzestępcą przejmować odciski palców i w konsekwencji uzyskiwać kontrole nad cudzymi urządzeniami mobilnymi.
6(15) 2023 SECURITY MAGAZINEMonika Świetlińska
Metoda ta, nazwana BrutePrint, korzysta z 2 luk w systemie uwierzytelniania odcisków palców w smartfonach. Luki te powstają z powodu niewystarczającego zabezpieczenia danych w czujnikach telefonów.
Atak polega na działaniu jako pośrednik między czytnikiem linii papilarnych a środowiskiem Trusted Execution Environment (TEE). Dzięki temu cyberprzestępca ma możliwość wysyłania nieograniczonej liczby obrazów odcisków palców, dopóki nie zostanie znalezione dopasowanie. Jednak wymaga to posiadania fizycznego dostępu do urządzenia docelowego.
Twój odcisk palca wcale nie jest bezpieczny
Badacze wykorzystują dwie luki w systemie. Pierwsza z nich, Cancel-After-Match-Fail (CAMF), pozwala na unieważnienie sumy kontrolnej danych odcisków palców, umożliwiając atakującemu nieograniczoną liczbę prób. Druga luka, Match-After-Lock (MAL), wykorzystuje kanał boczny do wnioskowania o dopasowaniu obrazów odcisków palców. Nawet jeśli urządzenie weszło w tryb blokady po wielu nieudanych próbach logowania.
Eksperyment przeprowadzono na 10 modelach smartfonów różnych producentów. Badacze uzyskali w ten sposób nieograniczoną liczbę prób na urządzeniach z systemem Android i HarmonyOS oraz 10 dodatkowych prób na urządzeniach z systemem iOS.
Odkrycia te pojawiły się w kontekście badań nad hybrydowym kanałem bocznym, który wykorzystuje procesory graficzne do ataków i analizowania historii przeglądanych stron. Odkryto również atak o nazwie Hot Pixels, wykorzystujący zachowanie przeglądarek internetowych do pobierania odcisków palców i zbierania historii przeglądania użytkownika.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Bigtechy dostrzegają problem
Badacze zalecają zakaz stosowania filtrów SVG w niektórych elementach stron internetowych oraz zapobieganie nieuprawnionemu dostępowi do odczytu czujników.
Nie klikaj tego.ZIP! Cyberprzestępcy znaleźli nowy sposób na oszustwaDamian Jemioło
Również firmy takie jak Apple, Google, AMD, Intel, Nvidia i Qualcomm potwierdziły te problemy i są świadome konieczności naprawienia tych luk w zabezpieczeniach. To odkrycie stanowi poważne wyzwanie dla bezpieczeństwa biometrycznego na smartfonach.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?