מתקפה חדשה כופה טביעות אצבע על סמארטפונים כדי לעקוף את האימות

נחשפה מתקפה חדשה, אשר כופה טביעות אצבע על טלפונים ניידים כדי לעקוף את אימות המשתמש ולהשתלט על המכשיר.

את המתקפה חשפו חוקרים ממעבדות טנסנט (Tencent) ואוניברסיטת זג'יאנג. הם כינו אותה בשם BrutePrint, הדהוד למתקפות מסוג brute-force, אשר מסתמכות על ניסיונות חוזרים ורבים על מנת לפצח קוד, מפתח, או סיסמה – וכך להשיג גישה לא מורשית לחשבונות, למערכות או לרשתות.

החוקרים הסינים הצליחו להתגבר על אמצעי הגנה קיימים על טלפונים ניידים, המנסים למנוע מתקפות brute-force, על ידי ניצול שתי חולשות zero-day שאותן הם כינו Cancel-After-Match-Fail (CAMF) ו-Match-After-Lock (MAL).

החוקרים, שפרסמו את המאמר הטכני באתר Arxiv.org, מצאו גם, כי נתונים ביומטריים על חיישני טביעת האצבע (SPI) היו מוגנים בצורה לא מספקת, מה שמאפשר מתקפה של "אדם באמצע, בתווך", MITM – לצורך חטיפת תמונות של טביעות אצבע.

המתקפות מהסוג הזה נבדקו מול עשרה דגמי טלפונים פופולריים, והחוקרים הצליחו להשיג ניסיונות בלתי מוגבלים בכל מכשירי אנדרואיד (Android) ו- HarmonyOS, לצד הצלחה חלקית במכשירי iOS.

חוקרי חברת אבטחת המידע ESET ציינו כי "ממצאים אלה נשמעים מדאיגים במבט ראשון. אולם במבט מעמיק יותר, ייתכן שהאיום לא יהיה משמעותי כפי שהוצע. ראשית, הפגם הזה מתועד כעת בפומבי וניתן לתקן אותו. שנית, לתוקפים יש הרבה תנאים מוקדמים שצריך לעמוד בהם – חומרה ישנה, גרסאות אנדרואיד ישנות, אבל גם יכולת להשיג גישה פיזית למכשיר של הקורבן. עבור המשתמשים הממוצעים, התקפות מסוג זה מהוות איום ברמה נמוכה. אם הפגמים האלה לא תוקנו כבר על ידי החומרה והתוכנה הנוכחיים, סביר להניח שהם יטופלו בעדכונים עתידיים".