Эксперты из Tencent Labs и Университета Чжэцзяна (Китай) обнаружили способ взломать защиту смартфонов отпечатком пальца на операционной системе Android. Для этого необходим физический доступ к устройству и несколько часов времени, сообщает издание Bleeping Computer.
Специалисты по информационной безопасности использовали для этого как минимум две уязвимости нулевого дня, приветствующих на Android смартфонах — это Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL). Эксплуатация этих уязвимостей позволяет отключить часть защиты на гаджетах и провести атаку.
При эксплуатации указанных выше уязвимостей взломанное устройство предоставляет исследователям бесконечное число попыток сканирования отпечатков пальцев. Чтобы обмануть сканер, специалисты Tencent Labs использовали недорогое оборудование стоимостью в 15 долларов, которое осуществляет подбор требуемого отпечатка пальца для взлома защиты.
По словам исследователей, после эксплуатации уязвимостей 15-долларовому устройству требуется от 3 до 14 часов, в зависимости от удачи, чтобы получить доступ ко всем данным гаджета. Вместе с этим, если на Android-смартфоне в память записано сразу несколько отпечатков пальцев, которые позволяют получить доступ к устройству, то в этом случае среднее время взлома существуют уменьшается максимум до 3-х часов.
Исследователи провели эксперименты на десяти устройствах Android и iOS и обнаружили, что все они уязвимы как минимум для одной уязвимости. Протестированные устройства Android допускают бесконечные попытки ввода, поэтому подбор отпечатка пальца и разблокировка устройства, в теории, в любом случае возможны при достаточном количестве времени. Однако выяснилось, что на iOS безопасность аутентификации гораздо более надежна, что эффективно предотвращает атаки методом грубой силы.
В Tencent Labs и Университете Чжэцзяна пришли к выводу, что такой вариант кибератаки могут применять хакерские группировки, которые имеют спонсируются различными государственными органами, а также по различные правоохранительные структуры, спецслужбы.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
