Men gaat ervan uit dat als je Android-toestel gestolen wordt, je data veilig is als je toestel is beschermd met een vingerafdruk. Helaas is dat niet het geval, aangezien Chinese onderzoekers een manier hebben gevonden om de beveiliging te omzeilen en een bruteforceaanval te plegen.
Werking BrutePrint aanval, via Arxiv.org
Gedoopt als BrutePrint, maakt deze aanval gebruik van twee zerodaykwetsbaarheden, te weten Cancel-After-Match-Fail (CAMF) en Match-After-Lock (MAL). Met deze twee kwetsbaarheden is het mogelijk om ongelimiteerd vingerafdrukken te proberen zonder dat het toestel blokkeert. CAMF doet dat door een checksumerror te forceren, waardoor het toestel niet weet dat er een vingerafdruk is geprobeerd. MAL maakt het mogelijk om alsnog vingerafdrukken te verifiëren op het toestel ondanks dat hij in 'lockout-modus' staat.
Het laatste component van de aanval is een neuralstyle transfersysteem, een aanvalstechniek waarmee vingerafdrukfoto’s zo gemanipuleerd worden dat het lijkt alsof ze door de eigen vingerafdruksensor gescand zijn, waardoor de kans op een match groter wordt. Men is op zoek naar een referentiewaarde, dus een vingerafdruk die veel lijkt op die van jou, en waar het systeem genoegen mee neemt. Volgens Bleeping Computer hebben de onderzoekers ook ontdekt dat de vingerafdruksensor’s Serial Peripheral Interface SPI niet goed beveiligd is, waardoor men een man-in-the-middle (MITM) aanval kan uitvoeren om vingerafdrukken te stelen.
De BrutePrint-aanval is getest op tien populaire Android-toestellen, zowel op Android als HarmonyOS (Huawei). Hierbij kon men ongelimiteerd inlogpoging doen op de sensor. Apple-apparaten deden het beter, die gemiddeld tien extra pogingen toelieten. Hierdoor kon men geen bruteforceaanval plegen op het iOS-apparaat. Ook is de data op de SPI van een iOS-apparaat versleuteld, dus kon men ook geen vingerafdrukken stelen. Met de BrutePrint-aanval kan je gemiddeld binnen 2,9 tot 13,9 uur een apparaat ontsleutelen.
De apparaten waarmee de onderzoekers hebben getest, via Arxiv.org
Toch is dat nou niet iets om 's nachts voor wakker te liggen. Het is niet de meest simpele aanval om uit te voeren. Je hebt ten eerste fysieke toegang nodig tot het apparaat. Daarnaast is er een vingerafdrukdatabase nodig van een gelekte of academische dataset. Je hebt ook een stukje hardware nodig, al is dat niet duur; voor gemiddeld 15 USD kun je zo'n apparaatje bemachtigen. De toestellen in het onderzoek zijn zelf ook al vrij verouderd, dus of dit op meeste recente Android- en iOS-apparaten ook werkt is nog maar de vraag.
Bronnen: Techspot, Bleeping Computer, Arxiv.org
