التعرف على بصمات الأصابع على الهواتف الذكية في خطر
دراسة حديثة أجراها مختبرات تينسنت e جامعة تشجيانغ (عن طريق الكمبيوتر) سلط الضوء على نوع جديد من الهجوم يسمى "هجوم BrutePrint"، والذي يمكن استخدامه لاختراق نظام التعرف على بصمات الأصابع على الهواتف الذكية التي تعمل بنظام Android و iOS. يسمح لك هذا الهجوم بالتحكم في الجهاز المحمول الخاص بشخص آخر ، التغلب على الاجراءات الامنية على الهواتف الذكية.
كيف يمكن استخدام هجوم BrutePrint لاختراق نظام التعرف على بصمات الأصابع على الهواتف الذكية التي تعمل بنظام Android و iOS
الباحثين نجحوا للتحايل على دفاعات الهواتف الذكية ، مثل القيود المفروضة على عدد محاولات التعرف على بصمات الأصابع ، من خلال استغلال ثغرتين من ثغرات يوم الصفر ، والمعروفين باسم إلغاء-بعد-المباراة-فشل (CAMF) و المباراة بعد القفل (مال). وفقًا للورقة الفنية المنشورة ، حدد العلماء فجوة في إدارة بيانات القياسات الحيوية لبصمات الأصابع. المعلومات التي تمر عبر واجهة SPI هي محمية بشكل غير كاف، مما يؤدي إلى تمكين هجوم man-in-the-middle (MITM) الذي يمكنه اختطاف صور بصمات الأصابع الملتقطة على الجهاز المحمول.
واجهة SPI (Serial Peripheral Interface) هو بروتوكول اتصال تسلسلي متزامن يستخدم على نطاق واسع في الإلكترونيات. تم تطوير هذا البروتوكول بواسطة Motorola في الثمانينيات وهو أصبح معيارًا واقعيًا للاتصال بين الأجهزة الرقمية.
اقرأ أيضا: تريد Xiaomi إحداث ثورة في فتح الهاتف الذكي ببصمة الإصبع
تم اختبار هجمات BrutePrint و SPI MITM على عشرة طرز شهيرة للهواتف الذكية ، مما أدى إلى محاولات تسجيل دخول غير محدودة ببصمات الأصابع على جميع الأجهزة أندرويد e HarmonyOS (Huawei) وعشر محاولات أخرى على الأجهزة آيفون. الهدف من تطبيق BrutePrint هو إجراء عدد غير محدود من صور بصمات الأصابع التي يتم إرسالها إلى الجهاز المستهدف حتى يتم التعرف على بصمة الإصبع على أنها صالحة ومصرح لها بإلغاء قفل الهاتف.
توجد الثغرة الأمنية BrutePrint بين مستشعر بصمات الأصابع وبيئة التنفيذ الموثوقة (TEE). يستغل هذا الهجوم عيبًا للتلاعب بآليات الكشف. عن طريق إدخال خطأ في بيانات بصمات الأصابع ، فإن ملف تم إنهاء عملية المصادقة بشكل غير طبيعي، مما يسمح للمهاجمين المحتملين باختبار بصمات الأصابع على الجهاز المستهدف دون تسجيل عدد محاولات تسجيل الدخول الفاشلة.
للوهلة الأولى ، قد لا يبدو BrutePrint بمثابة هجوم هائل بسبب تحتاج إلى وصول مطول إلى الجهاز. ومع ذلك ، هذا الشيء لا ينبغي أن يضعف انتباه أصحاب الهواتف الذكية.
