Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эксперты Tencent Labs нашли способ взломать защиту отпечатком пальца на Android-смартфонах

28
1 мин
Эксперты из Tencent Labs и Университета Чжэцзяна (Китай) обнаружили способ взломать защиту смартфонов отпечатком пальца на операционной системе Android. Для этого необходим физический доступ к устройству и несколько часов времени, сообщает издание Bleeping Computer. Специалисты по информационной безопасности использовали для этого как минимум две уязвимости нулевого дня, приветствующих на Android смартфонах — это Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL). Эксплуатация этих уязвимостей позволяет отключить часть защиты на гаджетах и провести атаку. При эксплуатации указанных выше уязвимостей взломанное устройство предоставляет исследователям бесконечное число попыток сканирования отпечатков пальцев. Чтобы обмануть сканер, специалисты Tencent Labs использовали недорогое оборудование стоимостью в 15 долларов, которое осуществляет подбор требуемого отпечатка пальца для взлома защиты. По словам исследователей, после эксплуатации уязвимостей 15-долларовому устройству требуется о
Изобаржение: Lukenn Sabellano (unsplash)
Изобаржение: Lukenn Sabellano (unsplash)

Эксперты из Tencent Labs и Университета Чжэцзяна (Китай) обнаружили способ взломать защиту смартфонов отпечатком пальца на операционной системе Android. Для этого необходим физический доступ к устройству и несколько часов времени, сообщает издание Bleeping Computer.

Специалисты по информационной безопасности использовали для этого как минимум две уязвимости нулевого дня, приветствующих на Android смартфонах — это Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL). Эксплуатация этих уязвимостей позволяет отключить часть защиты на гаджетах и провести атаку.

При эксплуатации указанных выше уязвимостей взломанное устройство предоставляет исследователям бесконечное число попыток сканирования отпечатков пальцев. Чтобы обмануть сканер, специалисты Tencent Labs использовали недорогое оборудование стоимостью в 15 долларов, которое осуществляет подбор требуемого отпечатка пальца для взлома защиты.

По словам исследователей, после эксплуатации уязвимостей 15-долларовому устройству требуется от 3 до 14 часов, в зависимости от удачи, чтобы получить доступ ко всем данным гаджета. Вместе с этим, если на Android-смартфоне в память записано сразу несколько отпечатков пальцев, которые позволяют получить доступ к устройству, то в этом случае среднее время взлома существуют уменьшается максимум до 3-х часов.

Исследователи провели эксперименты на десяти устройствах Android и iOS и обнаружили, что все они уязвимы как минимум для одной уязвимости. Протестированные устройства Android допускают бесконечные попытки ввода, поэтому подбор отпечатка пальца и разблокировка устройства, в теории, в любом случае возможны при достаточном количестве времени. Однако выяснилось, что на iOS безопасность аутентификации гораздо более надежна, что эффективно предотвращает атаки методом грубой силы.

В Tencent Labs и Университете Чжэцзяна пришли к выводу, что такой вариант кибератаки могут применять хакерские группировки, которые имеют спонсируются различными государственными органами, а также по различные правоохранительные структуры, спецслужбы.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются