ทีมนักวิทยาศาสตร์จีนได้รังแกการป้องกันการรับรองความถูกต้องด้วยลายนิ้วมือในสมาร์ทโฟนเปิดเผยช่องโหว่ที่สำคัญtechxplore-
การดำเนินงานดำเนินการโดยนักวิจัยที่มหาวิทยาลัยเจ้อเจียงและtencentLabs ได้รับชื่อรหัสว่า“ Bruteprint: เปิดเผยการพิสูจน์ตัวตนลายนิ้วมือสมาร์ทโฟนเพื่อการโจมตีที่ดุร้าย” การโจมตีเปิดเผยจุดอ่อนในคุณสมบัติการล็อคของโทรศัพท์ (จับคู่หลังจากล็อคหรือ MAL) ทำให้ทีมเข้าถึงข้อมูลลายนิ้วมือไบโอเมตริกซ์ได้ง่ายที่เก็บไว้ในอุปกรณ์หรือได้รับผ่านฐานข้อมูลออนไลน์
จากโทรศัพท์ที่ผ่านการทดสอบสิบรุ่นโมเดลจาก Android และ Huawei พบว่ามีความเสี่ยงในขณะที่อุปกรณ์ iOS ของ Apple สามารถทนต่อการโจมตีของเดรัจฉานได้ สำหรับอุปกรณ์ที่มีช่องโหว่รายงานรายละเอียดการโจมตี“ เวลาที่สั้นที่สุดในการปลดล็อกสมาร์ทโฟนโดยไม่ต้องมีความรู้ล่วงหน้าเกี่ยวกับเหยื่อประมาณ 40 นาที”
รายงานบอกว่ายิ่งคุ้นเคยมากขึ้นการนำเสนอการโจมตีซึ่ง“ ปลอมตัวเป็นเหยื่อเป้าหมายโดยนำเสนอสิ่งประดิษฐ์ (เช่นนิ้วซิลิกาเจล) ไปยังเซ็นเซอร์ลายนิ้วมือ” ได้รับการ“ ถูกระบุว่าเป็นภัยคุกคามอย่างรุนแรงต่อความปลอดภัยของระบบการตรวจสอบลายนิ้วมือ” ผู้ผลิตพึ่งพาเครื่องมือเช่นการตรวจจับความมีชีวิตชีวาและพยายาม จำกัด การโจมตีการนำเสนอการโจมตี แต่ด้วยการโจมตีเช่น Bruteprint มีความเสี่ยงใหม่ที่ต้องพิจารณาเมื่อประเมินการรับรองความถูกต้องด้วยลายนิ้วมือบนสมาร์ทโฟน
ตลาดข้อมูลไบโอเมตริกซ์ทั่วโลกเช่นปิดตัวลงเมื่อเร็ว ๆ นี้ตลาดปฐมกาลให้การเข้าถึงข้อมูลรับรองจำนวนหลายล้านรายการที่ขุดได้จากการละเมิดข้อมูล- ยิ่งไปกว่านั้นทีมจีนยังค้นพบ“ การป้องกันข้อมูลลายนิ้วมือไม่เพียงพอในอินเทอร์เฟซต่อพ่วงแบบอนุกรม (SPI) ของเซ็นเซอร์ลายนิ้วมือ” ซึ่งเปิดใช้งานมัด) การโจมตีภาพการจี้ภาพนิ้วมือ”
นี่ไม่ใช่ครั้งแรกที่ Tencent Labs ใช้เครื่องสแกนลายนิ้วมือสมาร์ทโฟน ในการประชุมในปี 2562 ทีม Tencentที่อ้างสิทธิ์มันสามารถแฮ็คเข้าสู่อุปกรณ์ Android หรือ iOS ได้เกือบทุกเครื่องใน 20 นาทีผ่านการโจมตีการนำเสนอโดยใช้นิ้วที่พิมพ์ 3 มิติตามภาพถ่าย นิ้วปลอมทำงานบนอุปกรณ์ที่มีเซ็นเซอร์ capacitive, Optical และ Ultrasonic
หัวข้อบทความ
Android-การรับรองความถูกต้องทางชีวภาพ-ไบโอเมตริกซ์ลายนิ้วมือ-การทดสอบปากกา-สมาร์ทโฟน-tencent
