.
Impressões digitais falsas podem ser usadas para desbloquear alguns telefones Android, de acordo com Yu Chen, da Tencent, e Yiling He, da Universidade de Zhejiang (via Ars Technica).
Os pesquisadores descobriram que duas vulnerabilidades de dia zero que estão presentes na estrutura de autenticação de impressão digital de quase todos os smartphones podem ser exploradas para desbloquear aparelhos Android.
O ataque foi nomeado BrutePrint. Ele requer uma placa de circuito de $ 15 com um microcontrolador, chave analógica, cartão flash SD e conector placa a placa. O invasor também precisará estar de posse do smartphone da vítima por pelo menos 45 minutos e também será necessário um banco de dados de impressões digitais.
Os pesquisadores testaram oito Telefones Android – Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G e Huawei P40 – e dois iPhones – iPhone SE e iPhone 7.
Os smartphones permitem um número limitado de tentativas de impressão digital, mas o BrutePrint pode contornar esse limite. O processo de autenticação de impressão digital não precisa de uma correspondência direta entre os valores inseridos e o valor do banco de dados. Ele usa um limite de referência para determinar uma correspondência. Um malfeitor pode tirar proveito disso tentando diferentes entradas até usar uma imagem que se pareça muito com aquela armazenada no banco de dados de impressões digitais.
O invasor precisará remover a tampa traseira do telefone para anexar a placa de circuito de $ 15 e realizar o ataque. Os pesquisadores conseguiram desbloquear todos os oito telefones Android usando o método. Depois que um telefone é desbloqueado, ele também pode ser usado para autorizar pagamentos.
O iPhone é seguro porque o iOS criptografa dados
A autenticação de impressão digital do smartphone usa uma interface periférica serial para conectar um sensor e o chip do smartphone. Como o Android não criptografa dados, o BrutePrint pode facilmente roubar imagens armazenadas em dispositivos de destino.
Segurança Boulevard diz que os proprietários de novos telefones Android não precisam se preocupar, pois o ataque provavelmente não funcionará em telefones que seguem os padrões mais recentes do Google.
.
