Galbūt sutiksite su manimi, kad pirštų atspaudų skaitytuvai išpopuliarėjo tarp daugumos „Android“ išmaniųjų telefonų savininkų. Beveik kiekvienas „Android“ išmanusis telefonas turi tokį jutiklį.
Daugeliu atvejų pirštų atspaudų skaitytuvai randami trijose skirtingose „Android“ išmaniųjų telefonų vietose – šone, ant nugarėlės ir po ekranu. Nepriklausomai nuo vietos, jie visi tarnauja vienam pagrindiniam tikslui – saugumui.
Kadangi kiekvienas žmogus žemėje turi skirtingą pirštų atspaudą, negalima paneigti, kad pirštų atspaudų skaitytuvai išmaniajame telefone turėtų būti vienas saugiausių būdų apsaugoti privačius duomenis nuo pašalinių akių. Bet ar tikrai taip? Ar išmaniųjų telefonų pirštų atspaudų skaitytuvai užtikrina geriausią saugumo formą?
Na, atsakymas į tai gali priklausyti nuo to, kaip norite atrakinti pirštų atspaudais apsaugotą telefoną. Jei bandote atrakinti naudodami kitą piršto atspaudą, kuris nėra užregistruotas išmaniajame telefone, tuomet tikrai turite geriausią apsaugos formą. O kas, jei pabandysite atrakinti naudodami įsilaužimo įrankį? Tai turėtų būti gana sunku padaryti, tiesa? Net jei tai įmanoma, šis įrankis tikrai turėtų kainuoti nemažus pinigus. Jis turėtų būti pakankamai brangus, kad vyriausybės saugumo agentūros, tokios kaip FTB, ir kitos, galėtų jį sau leisti tyrimo tikslais.
Faktas tas, kad yra naujas įrankis, kuris gali įveikti „Android“ įrenginių pirštų atspaudų apsaugą, bet jis nekainuoja daug. Tai vos 15 JAV dolerių kainuojantis įrankis, kuris atlieka visus stebuklus.
Nauji „Tencent“ Yu Chen ir Džedziango universiteto Yiling He tyrimai parodė, kad beveik visuose išmaniuosiuose telefonuose yra dvi nežinomos spragos. Šie pažeidžiamumai yra pirštų atspaudų autentifikavimo sistemoje ir vadinami nulinės dienos pažeidžiamumais. Pasinaudojus šiais pažeidžiamumais, galima pradėti ataką, vadinamą „BrutePrint“ ataka, kad būtų atrakintas beveik bet koks išmaniojo telefono pirštų atspaudų skaitytuvas.
Norėdami tai pasiekti, tyrėjai panaudojo 15 $ kainuojančią plokštę su mikrovaldikliu, analoginiu jungikliu, SD atminties kortele ir plokštės jungtimi. Užpuolikams tereikia praleisti 45 minutes su aukos telefonu ir, žinoma, pirštų atspaudų duomenų baze.
Tyrėjas išbandė aštuonis skirtingus „Android“ išmaniuosius telefonus ir du „iPhone“. „Android“ telefonai yra „Xiaomi Mi 11 Ultra“, „Vivo X60 Pro“, „OnePlus 7 Pro“, „OPPO Reno Ace“, „Samsung Galaxy S10+“, „OnePlus 5T“, „Huawei Mate30 Pro 5G“ ir „Huawei P40“. Iš „iPhone“ buvo panaudoti „iPhone SE“ ir „iPhone 7“.
Visų išmaniųjų telefonų pirštų atspaudų apsaugos priemonės turi ribotą bandymų skaičių, tačiau „BrutePrint“ ataka gali apeiti šį apribojimą. Tiesą sakant, pirštų atspaudų autentifikavimo priemonėms nereikia tikslios įvesties ir saugomų pirštų atspaudų duomenų atitikties. Vietoj to, jos naudoja nustatytą ribą, kad aptiktų, ar įvestis yra pakankamai artima atitikimui. Tai reiškia, kad bet kuri kenkėjiška sistema gali pasinaudoti ir bandyti suderinti saugomus pirštų atspaudų duomenis. Viskas, ką jie turi padaryti, tai sugebėti apeiti pirštų atspaudų bandymų limitą.
Norint atrakinti išmaniuosius telefonus, tyrėjams tereikėjo nuimti galinį išmaniųjų telefonų dangtelį ir pritvirtinti 15 $ vertės plokštę. Kai tik prasideda ataka, kiekvienam įrenginiui atrakinti prireikia mažiau nei valandos. Kai įrenginys atrakinamas, plokštė taip pat gali būti panaudota mokėjimams autorizuoti.
Laikas, kurio prireikė kiekvienam telefonui atrakinti, tarp skirtingų modelių skyrėsi. Pavyzdžiui, „Oppo“ atrakinimas užtruko apie 40 minučių, o „Samsung Galaxy S10+“ - nuo 73 minučių iki 2,9 valandos. Sunkiausiai atrakinamas „Android“ išmanusis telefonas buvo „Mi 11 Ultra“. Tyrėjų teigimu, jį atrakinti prireikė maždaug 2,78–13,89 valandos.
Bandydami atrakinti „iPhone“, tyrėjai negalėjo pasiekti savo tikslo. Tai tikrai nereiškia, kad „Android“ pirštų atspaudai yra silpnesni nei „iPhone“. Taip yra daugiausia todėl, kad „Apple“ užšifruoja „iPhone“ vartotojų duomenis. Naudojant užšifruotus duomenis, „BrutePrint“ ataka negali pasiekti „iPhone“ pirštų atspaudų duomenų bazės. Dėl šios priežasties ši atakos forma niekaip negali nulaužti „iPhone“ pirštų atspaudų.
Kaip galutinis vartotojas, jūs mažai ką galite padaryti, išskyrus slaptažodžių ir kitų apsaugos formų naudojimą. Tačiau „Android“ kūrėjai turi imtis papildomų priemonių, kad užtikrintų naudotojo duomenų saugumą. Atsižvelgdami į tai, tyrėjai Yu Chen ir Yiling pateikė keletą rekomendacijų. Jie pasiūlė, kad kūrimo komanda apribotų apėjimo bandymus. Jie taip pat paragino „Google“ užšifruoti visus duomenis, siunčiamus tarp pirštų atspaudų skaitytuvo ir mikroschemų rinkinio.
Turbūt pastebėjote, kad mokslininkai šiai vadinamajai „BrutePrint“ atakai naudojo senus išmaniuosius telefonus. Taip yra todėl, kad šiuolaikiniai „Android“ išmanieji telefonai yra labiau apsaugoti naudojant griežtesnius programų leidimus ir programų saugos duomenis. Sprendžiant iš šių tyrinėtojų naudojamo metodo, „BrutePrint“ atakai bus labai sunku prasiskverbti pro šiuolaikinę „Android“ apsaugą.
„Security Boulevard“ taip pat patikino naujausių „Android“ išmaniųjų telefonų naudotojus, kad jie gali nesijaudinti, nes„BrutePrint“ ataka gali neveikti „Android“ išmaniuosiuose telefonuose, kurie atitinka naujausius „Google“ standartus.