近日,腾讯安全玄武实验室和浙江大学的研究人员发现一种名为“BrutePrint”的新攻击方式,该攻击可通过暴力破解安卓智能手机上的指纹,来 绕过用户身份验证并 控制设备。
这种暴力攻击依赖于多次反复试验破解代码、密钥或密码,以此获得对账户、系统或网络的未授权访问。
该论文已发表在 Arxiv.org 上,研究者针对十种常见的智能手机进行测试,发现在所有安卓和华为鸿蒙HarmonyOS设备上均实现了 无限次尝试破解指纹,在 iOS 设备上实现了十次额外尝试(共可尝试 15 次)。
【资料图】
相关报告称,BrutePrint 攻击的思路是向目标设备执行无限次的指纹图像提交,直到匹配到用户定义的指纹。
另外研究人员通过 MAL 零日漏洞,成功绕过了解锁指纹的次数限制,因此可以在安卓 / 鸿蒙手机上可以无限次尝试解锁,并通过“neural style transfer”系统,将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像,从而不断通过假数据“捏造”出正确的指纹。
研究人员使用了 10 款设备进行破解测试,其中包括 6 款安卓手机,2 款华为鸿蒙手机,2 款苹果 iPhone。测试显示,所有设备都至少存在一个缺陷,而安卓和鸿蒙手机则可以被无限次暴力破解。
实验表明,当用户在手机上绑定了一个指纹时,针对易受攻击的设备 成功完成 BrutePrint 所需的时间在 2.9 到 13.9 小时之间。当用户在目标设备上绑定多个指纹时,暴力破解时间会下降到仅 0.66 到 2.78 小时,因为生成匹配图像的可能性呈指数级增长。
不过,昨晚鸿蒙官方向IT之家回应,相关漏洞已于 2021 年 12 月通过发布补丁进行了修复。
参考资料
Arxiv.org - BRUTEPRINT:Expose Smartphone Fingerprint Authentication to Brute-force Attack小米 Civi 3 新品发布会将在 5 月 25 日下午 14:00 点正式发布,IT之家网站 & App 将会同步直播,欢迎观看!
另外,近期还有不少热门内容, 点击下方蓝字即可查看:
标签: