كشف باحثون من Tencent Labs وجامعة تشجيانغ عن هجوم جديد يسمى "Bruteprint" يستهدف الهواتف الذكية الحديثة عن طريق فرض بصمات الأصابع على تجاوز مصادقة المستخدم والسيطرة على الطائرة.
الأخبار السيئة للهواتف الذكية Android ، ستواجه المصادقة البيومترية عن طريق البصمات مشكلة أمان مهمة ، مما يسمح لبعض المتسللين بتجاوز طريقة المصادقة هذه للوصول إلى جهازك. بفضل تقرير مشترك جديد صادر عن Tencent Labs وجامعة تشجيانغ ، نعلم ذلك الآن"من الممكن استخدام" القوة الغاشمة "لإلغاء قفل هاتفك الذكي.
تعتمد هجمات القوة الغاشمة علىمحاولات متكررة لفك الرموز أو كلمات المرور والحصول على وصول غير مصرح به.هنا ، تمكن الباحثون الصينيون من التحايل على تدابير حماية الهواتف الذكية ضد هجمات القوة الغاشمة من خلال استغلال نقاط الضعف "يوم الصفر": الإلغاء بعد المباراة (CAMF) ومواجهة المباراة (MAL).
هاتف Android الذكي ليس آمنًا كما اعتقدنا
وجد الباحثون أن البيانات البيومترية على واجهة السلسلة الطرفية (SPI) لأجهزة استشعار بصمات الأصابع لم تكن محمية بشكل كافٍ ، مما جعلها عرضة للهجوم "رجل في الوسط" (MITM) ، مما يسمح بخلع صور بصمات الأصابع.
لتنفيذ هجوم bruteprint ،يحتاج المهاجم إلى الوصول المادي إلى الجهاز المستهدف، قاعدة بيانات بصمات الأصابع ، يمكن الحصول عليها من مجموعات من بيانات الجامعة أو تسرب البيانات البيومترية ، وكذلكتكلفة المعدات حوالي 15 دولارًا فقط.على عكس تكسير كلمات المرور ، تستخدم مراسلات بصمات الأصابع عتبة مرجعية ، والتي تتيح للمهاجمين معالجة معدل القبول الخاطئ (بعيدًا) من أجل ذلكزيادة عتبة القبول وزيادة فرص النجاح.
باستخدام عيب Android ، يمكن للمتسللين حقن خطأ -فصاعدًا لمقاطعة عملية المصادقة قبل الأوان ، وللقيامعدد غير محدود من محاولات بصمات الأصابع دون أن يكون للجهاز فشل.يتمثل أحدث عنصر في هجوم Bruteprint في استخدام نظام "نقل النمط العصبي" لتحويل جميع صور بصمات الأصابع من قاعدة البيانات بحيث يشبه عمليات استشعار الجهاز المستهدف ، مما يزيد من فرص النجاح.
الهواتف الذكية iOS أكثر مقاومة لهذه الهجمات
أجرى الباحثون تجارب على عشرة أجهزة Android و iOS ووجدوا أنهم جميعا عرضة لخلة واحدة على الأقل. بينما سمحت أجهزة Android بعدد لا حصر له من محاولات بصمات الأصابع ،كانت أجهزة iOS أكثر قوة لمنع هجمات القوة الغاشمة.
يثير Bruteprint مخاوف بشأن سلامة الأجهزة واحترام الخصوصية. بالرغم منيتطلب الهجوم الوصول المطول إلى الجهاز المستهدف، يمكن أن يكون ثمينًا بالنسبة لللصوص والشرطة ، لأنه من المحتمل أن يسمح للمجرمين بإلغاء تأمين الأجهزة المسروقة واستخراج البيانات الخاصة. يرفع استخدام هذه التقنيات كجزء من الدراسات الاستقصائية أيضًاالأسئلة الأخلاقية ويمكن أن تنتهك الحق في الخصوصية.