חוקרים ממעבדות טנסנט ואוניברסיטת זג'יאנג הציגו מתקפה חדשה מסוג 'תקיפה כוחנית' שכופה טביעות אצבע על טלפונים מסוג אנדרואיד במטרה להשתלט על המכשיר תוך עקיפת שלבי אימות המשתמש | ועד כמה משתמש ממוצע בסמארטפון עשוי להיות חשוף לאיום מהסוג הזה?
אהרון סוויסה 22.05.2023
אנדרואיד | אילוסטרציה: mirtmirt, שטארסטוק באתר Bleeping computer דווח כי חוקרים ממעבדות טנסנט ואוניברסיטת זג'יאנג הציגו מתקפה חדשה בשם 'BrutePrint', אשר כופה טביעות אצבע על סמארטפונים כדי לעקוף את אימות המשתמש ולהשתלט על המכשיר.
מתקפות brute-force מסתמכות על ניסיונות חוזרים ורבים על מנת לפצח קוד, מפתח או סיסמה ולהשיג גישה לא מורשית לחשבונות, מערכות או רשתות.
החוקרים הסינים הצליחו להתגבר על אמצעי הגנה קיימים על סמארטפונים, כמו הגבלה של כמו ניסיונות והגנות מפני מתקפות brute-force, על ידי ניצול מה שלטענתם הוא שתי חולשות zero-day אותן הם כינו Cancel-After-Match-Fail (CAMF) ו-Match-After-Lock (MAL).
מחברי המאמר הטכני שפורסם באתר Arxiv.org מצאו גם כי נתונים ביומטריים על חיישני טביעת האצבע (SPI) היו מוגנים בצורה לא מספקת, מה שמאפשר מתקפה של אדם באמצע (MITM) לחטיפת תמונות טביעות אצבע.
מתקפות מהסוג הזה נבדקו מול עשרה דגמי סמארטפונים פופולריים, והצליחו להשיג ניסיונות בלתי מוגבלים בכל מכשירי Android ו- HarmonyOS ועשרה ניסיונות נוספים במכשירי iOS.
בחברת אבטחת המידע ESET מסבירים היום, כי, "ממצאים אלו נשמעים מדאיגים במבט ראשון. אולם במבט מעמיק יותר, ייתכן שהאיום לא יהיה משמעותי כפי שהוצע. בראש ובראשונה, הפגם הזה מתועד כעת בפומבי וניתן לתקן אותו. שנית, לתוקפים יש הרבה תנאים מוקדמים שצריך לעמוד בהם – חומרה ישנה, גרסאות אנדרואיד ישנות, אבל גם גישה פיזית למכשיר של הקורבן.
"יהיה בטוח לומר, שעבור המשתמשים הממוצעים, התקפות מסוג זה מהוות איום ברמה נמוכה. אם הפגמים האלה לא תוקנו כבר על ידי החומרה והתוכנה הנוכחיים, סביר להניח שהם יטופלו בעדכונים עתידיים".