روی ایمنی اسکنر اثر انگشت گوشی حساب نکنید

تحقیقات جدید نشان می دهد که اسکنرهای اثر انگشت در گوشی های اندرویدی چندان ایمن نیستند و نمی توان زیاد روی آن ها اعتماد کرد.

گزارش کردن تکناک، اسکنر اثر انگشت در بین اکثر دارندگان گوشی های اندرویدی محبوب شده است. تقریباً هر گوشی اندرویدی دارای اسکنر اثر انگشت است. در اکثر موارد، اسکنر اثر انگشت را در سه مکان مختلف در گوشی‌های اندرویدی خواهید دید، به عنوان مثال، در کنار، پشت و زیر نمایشگر گوشی. با وجود مکان های مختلف، همه آنها یک هدف اصلی را دنبال می کنند که امنیت است.

از آنجایی که هر فرد روی زمین دارای اثر انگشت متفاوتی است، نمی توان انکار کرد که اسکنر اثر انگشت در تلفن های همراه یکی از ایمن ترین راه ها برای حفظ اطلاعات خصوصی از چشمان کنجکاو است. از آنجایی که این جمله معتبر است، آیا واقعاً چنین است؟ آیا اسکنر اثر انگشت در تلفن های همراه بهترین امنیت را فراهم می کند؟

به این پاسخ دهید سوال ممکن است بستگی به نحوه باز کردن قفل تلفن همراه محافظت شده از اثر انگشت داشته باشد. اگر می خواهید با اثر انگشتی که در تلفن همراه ثبت نشده است قفل آن را باز کنید، باید بگوییم که بهترین محافظت را دارید. با این حال، اگر می خواهید قفل را با ابزار هک باز کنید، مسائل به گونه ای دیگر مطرح می شود. ممکن است تصور شود که حتی اگر این امکان وجود داشته باشد، ساز لزوما باید هزینه زیادی داشته باشد. این به اندازه کافی گران است که فقط آژانس های امنیتی دولتی مانند FBI و دیگران می توانند آن را برای اهداف تحقیقاتی بپردازند.

واقعیت این است که ابزار جدیدی وجود دارد که می تواند رمزگذاری اثر انگشت دستگاه های اندرویدی را شکست دهد، اما هزینه زیادی ندارد. یک ابزار 15 دلاری است که رمزگذاری اثر انگشت تلفن همراه را می شکند.

تحقیقات جدید Yu Chen از Tencent و Yiling He از دانشگاه ژجیانگ نشان می دهد که تقریباً در همه گوشی های هوشمند دو آسیب پذیری ناشناخته وجود دارد. این آسیب‌پذیری‌ها در سیستم احراز هویت اثر انگشت قرار دارند و به آسیب‌پذیری‌های روز صفر معروف هستند. با استفاده از این آسیب پذیری ها، حمله ای به نام حمله BrutePrint می تواند برای باز کردن قفل تقریباً هر اسکنر اثر انگشت تلفن همراه انجام شود.

برای دستیابی به این هدف، از یک برد مدار چاپی 15 دلاری به همراه میکروکنترلر، سوئیچ آنالوگ، کارت حافظه SD و اتصال برد به برد استفاده شده است. تنها چیزی که مهاجمان نیاز دارند 45 دقیقه تماس با تلفن قربانی و البته پایگاه داده اثر انگشت است.

اسکنر اثر انگشت گوشی های اندرویدی در عرض 45 دقیقه هک شد

محققان اسکنر اثر انگشت هشت گوشی مختلف اندرویدی و دو آیفون را آزمایش کردند. گوشی‌های هوشمند اندرویدی شامل شیائومی Mi 11 Ultra، Vivo X60 Pro، OnePlus 7 Pro، OPPO Reno Ace، Samsung Galaxy S10+، OnePlus 5T، Huawei Mate30 Pro 5G و Huawei P40 بودند. آیفون ها همچنین شامل آیفون SE و آیفون 7 بودند.

همه رمزگذاری‌های اثر انگشت موبایل Koshi دارای تعداد محدودی عملکرد هستند، اما حمله BrutePrint می‌تواند بر این محدودیت غلبه کند. در واقع، احراز هویت اثر انگشت نیازی به تطابق دقیق بین داده های اثر انگشت ورودی و ذخیره شده ندارد. در عوض، از یک آستانه برای تعیین اینکه آیا ورودی به اندازه کافی نزدیک است یا خیر استفاده می کند. این بدان معنی است که هر سیستم مخربی می تواند از آن سوء استفاده کند و سعی کند داده های اثر انگشت ذخیره شده را با ورودی مطابقت دهد. تنها کاری که باید انجام شود این است که از محدودیت تعداد اقدامات اثر انگشت عبور کنید.

چگونه محققان از یک ابزار 15 دلاری برای باز کردن قفل اسکنر اثر انگشت در تلفن های هوشمند استفاده کردند

برای باز کردن گوشی‌های هوشمند، تنها کاری که محققان باید انجام دهند این است که قاب پشتی گوشی‌های هوشمند را جدا کرده و یک برد مدار چاپی 15 دلاری به آن بچسبانند. پس از شروع حمله، باز کردن قفل هر دستگاه فقط کمتر از یک ساعت طول می کشد. پس از باز شدن قفل دستگاه، می‌توانند از آن برای احراز هویت پرداخت‌ها نیز استفاده کنند.

زمان مورد نیاز برای باز کردن قفل هر گوشی از طریق اسکنر اثر انگشت متفاوت است و در گوشی های مختلف متفاوت است. برای مثال، باز شدن Oppo حدود 40 دقیقه طول کشید، در حالی که Samsung Galaxy S10+ حدود 73 دقیقه تا 2.9 ساعت باز شد. پیچیده ترین گوشی هوشمند اندرویدی برای باز کردن قفل، Mi 11 Ultra بود. به گفته محققان بازکردن آن بین 2.78 تا 13.89 ساعت طول کشید.

آیفون کاملا ایمن است

در تلاش برای باز کردن قفل آیفون، محققان نتوانستند از طریق اسکنر اثر انگشت به هدف خود برسند. این واقعاً به این معنی نیست که اسکنر اثر انگشت اندروید ضعیف تر از اثر انگشت آیفون است. دلیل اصلی این است که اپل اطلاعات کاربران را در آیفون رمزگذاری می کند. با داده های رمزگذاری شده، حمله BrutePrint نمی تواند به پایگاه داده اثر انگشت آیفون دسترسی پیدا کند. به همین دلیل، هیچ راهی برای این نوع حمله برای باز کردن قفل اثر انگشت آیفون وجود ندارد.

کاربران اندروید چگونه می توانند از امنیت داده های شخصی مطمئن شوند؟

به عنوان یک کاربر نهایی، کار زیادی نمی توانید انجام دهید جز استفاده از رمز عبور و سایر روش های حفاظتی. با این حال، این به توسعه دهندگان اندروید بستگی دارد که اقدامات بیشتری را برای اطمینان از ایمنی داده های کاربران انجام دهند. برای این منظور، محققان یو چن و یلینگ پیشنهادهایی ارائه کردند. آنها پیشنهاد کردند که تیم توسعه برای محدود کردن تلاش های ناموفق اقدام کند. آنها همچنین از گوگل خواستند تمام داده های ارسال شده بین اسکنر اثر انگشت و چیپست را رمزگذاری کند.

در نتیجه، می توانید ببینید که محققان از گوشی های هوشمند قدیمی برای حمله BrutePrint استفاده کردند. این به این دلیل است که تلفن‌های هوشمند اندرویدی جدید با مجوزهای سخت‌گیرانه‌تر برنامه و داده‌های ایمنی بهتر محافظت می‌شوند. با توجه به روش استفاده شده توسط این محققان، حمله به امنیت اندرویدهای امروزی برای BrutePrint دشوار خواهد بود. Security Boulevard همچنین به کاربران گوشی‌های هوشمند اندرویدی جدید اطمینان داده است که نیازی به نگرانی نیست زیرا ممکن است حمله BrutePrint روی تلفن‌های هوشمند اندرویدی که از آخرین استانداردهای گوگل پیروی می‌کنند، کار نکند.

روی ایمنی اسکنر اثر انگشت گوشی حساب نکنید. اولین بار در خبرجو – اخبار دنیای فناوری. ظاهر شد.