最近的一项研究由 腾讯实验室 e 浙江大学 (通过 哔哔电脑) 揭示了一种新型攻击,称为“暴力破解攻击“,可用于破解 Android 和 iOS 智能手机上的指纹识别系统。 这种攻击允许你控制另一个人的移动设备, 克服安全措施 在智能手机上实现。
BrutePrint 攻击如何用于破解 Android 和 iOS 智能手机上的指纹识别系统
研究人员 他们成功了 通过利用两个零日漏洞(称为 匹配失败后取消 (CAMF) 和 锁定后匹配 (马尔)。 根据已发表的技术论文,学者们发现了指纹生物识别数据管理方面的差距。 通过SPI接口传递的信息是 保护不足,启用中间人 (MITM) 攻击,可以劫持移动设备上捕获的指纹图像。
接口 SPI (Serial Peripheral Interface)是一种广泛应用于电子产品中的同步串行通信协议。 该协议由摩托罗拉在 80 年代开发,是 成为事实上的标准 用于数字设备之间的通信。
BrutePrint 和 SPI MITM 攻击在十种流行的智能手机型号上进行了测试,导致在所有设备上进行无限制的指纹登录尝试 Android e HarmonyOS (Huawei) 以及十次以上的设备尝试 iOS. BrutePrint 的目标是执行无限数量的指纹图像发送到目标设备,直到指纹被识别为有效并被授权解锁手机.
BrutePrint 漏洞位于指纹传感器和可信执行环境 (TEE) 之间。 这种攻击利用一个缺陷来操纵检测机制。 通过在指纹数据中输入错误, 认证过程异常终止,允许潜在的攻击者在目标设备上测试指纹,而无需记录失败的登录尝试次数。
乍一看,BrutePrint 似乎不是一种强大的攻击,因为 需要长时间访问设备. 不过,这件事不应削弱智能手机用户的关注度。
