احراز هویت اثر انگشت گوشی هوشمند از یک رابط جانبی سریال برای اتصال سنسور و تراشه گوشی هوشمند استفاده می کند. از آنجایی که اندروید داده ها را رمزگذاری نمی کند، BrutePrint می تواند به راحتی تصاویر ذخیره شده در دستگاه های مورد نظر را بدزدد.
امنیت گوشی اندروید در مقابل ابزار 15 دلاری کاهش می یابد، اما آیفون ها ایمن هستند
بلوار امنیتی میگوید که دارندگان گوشیهای اندرویدی جدید نیازی به نگرانی ندارند زیرا این حمله احتمالاً روی تلفنهایی که از آخرین استانداردهای گوگل پیروی میکنند، کار نخواهد کرد.
منبع: https://www.phonearena.com/news/Android-phone-security-falls-flat-against-15-tool-but-iPhones-are-safe_id147699
مهاجم باید قاب پشتی گوشی را جدا کند تا برد مدار 15 دلاری را بچسباند و حمله را انجام دهد. محققان با استفاده از این روش توانستند قفل هر هشت گوشی اندرویدی را باز کنند. پس از باز شدن قفل تلفن، می توان از آن برای تأیید پرداخت نیز استفاده کرد.
آیفون امن است زیرا iOS داده ها را رمزگذاری می کند
به گفته یو چن از Tencent و Yiling He از دانشگاه ژجیانگ، می توان از اثر انگشت جعلی برای باز کردن قفل برخی از تلفن های اندرویدی استفاده کرد (از طریق Ars Technica).
محققان کشف کردهاند که دو آسیبپذیری روز صفر که در چارچوب احراز هویت اثر انگشت تقریباً همه گوشیهای هوشمند وجود دارد، میتوانند برای باز کردن قفل گوشیهای اندرویدی مورد سوء استفاده قرار گیرند.
این حمله BrutePrint نامگذاری شده است. به یک برد مدار 15 دلاری با میکروکنترلر، سوئیچ آنالوگ، کارت فلش SD و کانکتور برد به برد نیاز دارد. مهاجم همچنین باید گوشی هوشمند قربانی را حداقل به مدت 45 دقیقه در اختیار داشته باشد و همچنین به پایگاه داده اثر انگشت نیز نیاز است.
محققان هشت مورد را آزمایش کردند گوشی های اندرویدی – شیائومی می 11 اولترا، ویوو ایکس 60 پرو، وان پلاس 7 پرو، اوپو رینو ایس، سامسونگ گلکسی اس 10 پلاس، وان پلاس 5 تی، هواوی میت 30 پرو 5گاند هواوی پی 40 – و دو آیفون – آیفون SE و آیفون 7.
گوشیهای هوشمند تعداد محدودی تلاش برای اثر انگشت را میدهند، اما BrutePrint میتواند این محدودیت را دور بزند. فرآیند احراز هویت اثر انگشت نیازی به تطابق مستقیم بین مقادیر وارد شده و مقدار پایگاه داده ندارد. از یک آستانه مرجع برای تعیین تطابق استفاده می کند. یک بازیگر بد می تواند با امتحان ورودی های مختلف از این مزیت استفاده کند تا زمانی که از تصویری استفاده کند که بسیار شبیه تصویر ذخیره شده در پایگاه داده اثر انگشت باشد.