Ερευνητές στα εργαστήρια Tencent και στο Πανεπιστήμιο Zhejiang παρουσίασαν μια νέα επίθεση που ονομάζεται «BrutePrint», η οποία αναγκάζει τα δακτυλικά αποτυπώματα σε σύγχρονα smartphone να παρακάμπτουν τον έλεγχο ταυτότητας των χρηστών και να πάρουν τον έλεγχο της συσκευής.
Οι επιθέσεις brute force βασίζονται σε πολλές προσπάθειες δοκιμής και λάθους για να σπάσουν έναν κωδικό, ένα κλειδί ή έναν κωδικό πρόσβασης και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς, συστήματα ή δίκτυα.
Οι Κινέζοι ερευνητές κατάφεραν να ξεπεράσουν τις υπάρχουσες διασφαλίσεις στα smartphone, όπως όρια προσπάθειας και ανίχνευση ζωντάνιας που προστατεύουν από επιθέσεις ωμής βίας, εκμεταλλευόμενοι αυτό που ισχυρίζονται ότι είναι δύο τρωτά σημεία μηδενικής ημέρας, συγκεκριμένα το Cancel-After-Match-Fail (CAMF) και το Match. -After-Lock (MAL).
Οι συντάκτες μιας τεχνικής εργασίας διαπίστωσε επίσης ότι τα βιομετρικά δεδομένα στη σειριακή περιφερειακή διασύνδεση (SPI) των αισθητήρων δακτυλικών αποτυπωμάτων ήταν ανεπαρκώς προστατευμένα, επιτρέποντας μια επίθεση man-in-the-middle (MITM) για την παραβίαση εικόνων δακτυλικών αποτυπωμάτων.
Οι επιθέσεις BrutePrint και SPI MITM δοκιμάστηκαν σε δέκα δημοφιλή μοντέλα smartphone, επιτυγχάνοντας απεριόριστες προσπάθειες σε όλες τις συσκευές Android και HarmonyOS (Huawei) και δέκα επιπλέον προσπάθειες σε συσκευές iOS.
