تم العثور على ثغرة أمنية في Android و HarmonyOS لتجاوز الماسح الضوئي لبصمات الأصابع

المستكشفون الصينيون اكتشفأن العديد من الهواتف الذكية التي تعمل بنظام Android معرضة لخروقات بصمات الأصابع. أسلوب جديد هجمات القوة الغاشمة تسمى BrutePrint.

تستغل BrutePrint اثنتين من نقاط الضعف في يوم الصفر لزيادة محاولات تسجيل الدخول ببصمة الإصبع إصبعك إلى ما لا نهاية ، بينما يطلب الهاتف الذكي عادةً إدخال رمز مرور بعد عدة مرات غير ناجحة محاولات.

تم تأكيد الاستغلال على ستة هواتف ذكية شائعة تعمل بنظام Android ، بما في ذلك Xiaomi Mi 11 Ultra و OnePlus 7 Pro ، بالإضافة إلى Huawei P40 على HarmonyOS و iPhone باستخدام ماسح بصمات الأصابع. إذا كان من الممكن في حالة Android و HarmonyOS الحصول على عدد لا حصر له من محاولات تسجيل الدخول باستخدام ماسح ضوئي ، فإن هذه الطريقة على iPhone يمكنها فقط زيادة عدد المحاولات إلى 15 بدلاً من المعتاد 5. لا يكفي للاختراق.

بعد تلقي محاولات لا نهاية لها ، يقوم جهاز بسيط من لوحين ومناور بتغذية صور بصمات الأصابع من القواعد إلى الهاتف الذكي. تتم معالجتها بحيث يعتبرها نظام الهاتف الذكي كصور من الماسح الضوئي ويتحقق من قاعدة البيانات الخاصة به. في بعض الحالات ، تمكن الباحثون حتى من التلاعب بقيمة القطع الإيجابية الخاطئة لتسريع التركيب.

من الملاحظ أنه بالنسبة للقرصنة ، يحتاج المهاجم إلى الوصول المادي إلى الجهاز ، وكذلك قواعد بيانات بصمات الأصابع (من المصادر الأكاديمية المفتوحة أو تسرب البيانات البيومترية). المعدات المطلوبة للاستغلال غير مكلفة: يمكن تجميعها بحوالي 15 دولارًا.

ومع ذلك ، فإن القرصنة تستغرق أيضًا وقتًا طويلاً: من 2.9 إلى 13.9 ساعة إذا كان المستخدم قد سجل إصبعًا واحدًا فقط للمسح. كلما زادت بصمات الأصابع في ذاكرة الهاتف الذكي ، زادت سرعة تشغيل BrutePrint: يمكن أن يستغرق الاختراق أقل من ساعة.

لم يتم الإبلاغ عن استخدام أنظمة القرصنة هذه. على الرغم من أنه من غير المحتمل أن يكون معظم المستخدمين هدفًا لمثل هذه الهجمات ، إلا أن هذه التقنية قد تكون خطيرة بالنسبة للأجهزة المسروقة التي لم يتم تمكينها في وضع الفقدان Lost Mode.