Android Telefonlar, parmak izi kaba kuvvet saldırılarına maruz kalıyor. Parmak izi kullanılması tehlikeleri de beraberinde getirdi.
Tencent Labs ve Zhejiang Üniversitesi’nden araştırmacılar tarafından yakın zamanda tanıtılan ‘BrutePrint’ adlı bir saldırı sunuldu. Bu saldırı yöntemi, modern android telefonlar kaba kuvvet tekniklerinin uygulanmasını içerir ve parmak izi tanıma yoluyla kullanıcı kimlik doğrulamasının atlanmasını sağlar. Sonuç olarak, yetkisiz kişiler hedeflenen cihaz üzerinde kontrol sahibi olurlar.
Araştırmacılar Android, iOS ve HarmonyOS tabanlı akıllı telefonları denediler, ancak yalnızca Android telefonların saldırılara duyarlı olduğu bulundu.
İlginizi Çekebilecek Yazımız: KeePass Güvenlik Açığı, Hackerların Ana Şifreleri Çalmasına Yarıyor
Ayrıntılar
Araştırmacılar, iki sıfır gün – Maçtan Sonra İptal-Başarısız (CAMF) ve Maçtan Sonra Kilitleme (MAL) kullanarak akıllı telefonlardaki mevcut korumaları atlatabildiler.
Araştırmacılar, parmak izi sensörlerinin Seri Çevresel Arabirimi (SPI) aracılığıyla iletilen biyometrik verilerin yeterli korumadan yoksun olduğunu ve onu Ortadaki Adam (MITM) saldırısına karşı savunmasız hale getirdiğini keşfetti.
Sonuç olarak, bu güvenlik açığı parmak izi görüntülerinin ele geçirilmesine izin verdi.
İşleyiş Biçimleri
Bu saldırı suçlular tarafından ancak mobil cihaza fiziksel erişim sağladıkları takdirde durdurulabilir.
Bir saldırgan, parmak izi kimlik doğrulama mekanizmalarını değiştirmek için camf’den yararlanabilir ve sınırsız parmak izi gönderimine izin verebilir.
HATALI kusur, “kilitleme modunda” bile kimlik doğrulama sonuçlarının çıkarılmasını sağlar.”
Saldırı, sinirsel bir stil aktarım sistemi kullanarak, veritabanındaki parmak izi görüntülerini hedef cihazın sensör taramalarına benzeyecek şekilde dönüştürerek başarılı kimlik doğrulama şansını artırır.
Sonuç Olarak
BrutePrint saldırısı ilk bakışta daha az endişe verici görünse de, hedeflenen cihaza uzun süreli erişim gerektirdiğinden, etkileri hafife alınmamalıdır. Suçlular için bu saldırı, çalınan cihazların kilidini açma ve değerli özel verilere özgürce erişme fırsatı sunarak bireylerin gizliliği ve güvenliği için önemli bir tehdit oluşturuyor.
Haber Kaynağı: Cyware Social