امنیت گوشی اندروید در مقابل ابزار 15 دلاری کاهش می یابد، اما آیفون ها ایمن هستند

احراز هویت اثر انگشت گوشی هوشمند از یک رابط جانبی سریال برای اتصال سنسور و تراشه گوشی هوشمند استفاده می کند. از آنجایی که اندروید داده ها را رمزگذاری نمی کند، BrutePrint می تواند به راحتی تصاویر ذخیره شده در دستگاه های مورد نظر را بدزدد.

بلوار امنیتی می‌گوید که دارندگان گوشی‌های اندرویدی جدید نیازی به نگرانی ندارند زیرا این حمله احتمالاً روی تلفن‌هایی که از آخرین استانداردهای گوگل پیروی می‌کنند، کار نخواهد کرد.

منبع: https://www.phonearena.com/news/Android-phone-security-falls-flat-against-15-tool-but-iPhones-are-safe_id147699

مهاجم باید قاب پشتی گوشی را جدا کند تا برد مدار 15 دلاری را بچسباند و حمله را انجام دهد. محققان با استفاده از این روش توانستند قفل هر هشت گوشی اندرویدی را باز کنند. پس از باز شدن قفل تلفن، می توان از آن برای تأیید پرداخت نیز استفاده کرد.

آیفون امن است زیرا iOS داده ها را رمزگذاری می کند

به گفته یو چن از Tencent و Yiling He از دانشگاه ژجیانگ، می توان از اثر انگشت جعلی برای باز کردن قفل برخی از تلفن های اندرویدی استفاده کرد (از طریق Ars Technica).

محققان کشف کرده‌اند که دو آسیب‌پذیری روز صفر که در چارچوب احراز هویت اثر انگشت تقریباً همه گوشی‌های هوشمند وجود دارد، می‌توانند برای باز کردن قفل گوشی‌های اندرویدی مورد سوء استفاده قرار گیرند.

این حمله BrutePrint نامگذاری شده است. به یک برد مدار 15 دلاری با میکروکنترلر، سوئیچ آنالوگ، کارت فلش SD و کانکتور برد به برد نیاز دارد. مهاجم همچنین باید گوشی هوشمند قربانی را حداقل به مدت 45 دقیقه در اختیار داشته باشد و همچنین به پایگاه داده اثر انگشت نیز نیاز است.
محققان هشت مورد را آزمایش کردند گوشی های اندرویدی – شیائومی می 11 اولترا، ویوو ایکس 60 پرو، وان پلاس 7 پرو، اوپو رینو ایس، سامسونگ گلکسی اس 10 پلاس، وان پلاس 5 تی، هواوی میت 30 پرو 5گاند هواوی پی 40 – و دو آیفون – آیفون SE و آیفون 7.
گوشی‌های هوشمند تعداد محدودی تلاش برای اثر انگشت را می‌دهند، اما BrutePrint می‌تواند این محدودیت را دور بزند. فرآیند احراز هویت اثر انگشت نیازی به تطابق مستقیم بین مقادیر وارد شده و مقدار پایگاه داده ندارد. از یک آستانه مرجع برای تعیین تطابق استفاده می کند. یک بازیگر بد می تواند با امتحان ورودی های مختلف از این مزیت استفاده کند تا زمانی که از تصویری استفاده کند که بسیار شبیه تصویر ذخیره شده در پایگاه داده اثر انگشت باشد.