کمیته رکن چهارم – هکرها این توانایی را به دست آوردهاند که با استفاده از حسگر اثر انگشت روی گوشیهای اندرویدی به آنها نفوذ کنند.
گزارشی از محققان امنیت سایبری در Tencent Labs و دانشگاه ژجیانگ ادعا میکند که راهی برای اعمال اثرانگشت بر روی دستگاههای اندرویدی و با دسترسی فیزیکی به گوشی هوشمند وجود دارد و یک هکر میتواند با داشتن زمان کافی، قفل دستگاه را باز کند.
بر اساس این گزارش، دو آسیبپذیری روز صفر در دستگاههای اندرویدی (و همچنین دستگاههای مجهز به سیستم عامل iOS و هارمونیاواس هوآوی)، به نامهای Cancel-After-Match-Fail (CAMF) و Match-After-Lock (MAL) وجود دارد.
با سوءاستفاده از این نقصها، محققان موفق به انجام دو کار شدند: باعث شدند اندروید اجازه دهد که فرد بینهایت از اسکن اثر انگشت استفاده کند و همچنین از پایگاههای داده موجود در پایگاههای دانشگاهی، نشت دادههای بیومتریک و موارد مشابه استفاده کردند.
برای موفقیت این حملات، مهاجمان به چند چیز نیاز داشتند: دسترسی فیزیکی به گوشی هوشمند مجهز به سیستم عامل اندروید، زمان کافی و سخت افزار ۱۵ دلاری.
محققان نام این حمله را «BrutePrint» گذاشتند و ادعا کردند که برای دستگاهی که فقط یک اثر انگشت برای باز شدن آن تنظیم شده است، نفوذ بین ۲٫۹ تا ۱۳٫۹ ساعت طول میکشد. آنها اضافه کردند که دستگاههایی با چندین اثر انگشت ضبط شده به طور قابل توجهی راحتتر هستند و میانگین زمان برای این حمله بین ۰٫۶۶ ساعت تا ۲٫۷۸ ساعت است.
محققان این آزمایش را بر روی ده مدل تلفن هوشمند محبوب و همچنین چند دستگاه iOS انجام دادند. دقیقاً نمیدانیم کدام مدلها آسیبپذیر بودند، اما آنها گفتند که در دستگاههای دارای سیستم عاملهای اندروید و هارمونی موفق شدهاند به گوشی نفوذ کنند. با این حال، برای دستگاههای iOS، آنها فقط توانستند ده بار در مدلهای iPhone SE و iPhone 7 این کار را انجام دهند که برای انجام موفقیتآمیز حمله کافی نیست. بنابراین، نتیجه این است که اگرچه iOS ممکن است در برابر این نقصها آسیبپذیر باشد، اما روش فعلی نفوذ به دستگاه از طریق این راه کافی نخواهد بود.
محققان نتیجه گرفتند که اگرچه این نوع حمله ممکن است برای هکرهای معمولی جذاب نباشد، اما میتواند توسط بازیگران تحت حمایت دولت و سازمانهای مجری قانون مورد استفاده قرار گیرد.
منبع: افتانا