@ 2023.05.27 , 13:34

腾讯和浙大的工程师,发明了一种低成本破解智能手机指纹系统的方式

研究人员设计了一种低成本的智能手机攻击,可以在短短 45 分钟内破解用于解锁屏幕和执行其他敏感操作的 Android 设备的指纹认证。

这种攻击方法被其创造者称为 BrutePrint,攻击者需要物理控制设备,利用了两个 0day——其一称为 CAMF (cancel-after-match fail) 其二称为 MAL (match-after-lock)——对智能手机指纹验证(SFA)执行无限次的暴力破解攻击。

攻击者能在最短 45 分钟内破解手机。BrutePrint 的核心设备是一块 15 美元的电路板,包含一个来自意法半导体的微控制器 STM32F412、双向双通道模拟开关 RS2117、8GB 闪存卡、连接手机主板和指纹传感器柔性电路板的板对板连接器。此外还需要一个指纹数据库以加载到闪存卡中。

BrutePrint攻击概述

BrutePrint 是一种廉价的攻击手段,可以利用智能手机指纹认证系统中的各种漏洞和弱点来解锁设备。此外,攻击还需要一个指纹数据库,类似于那些用于研究或泄露在真实世界入侵中的数据库。

不同手机表现不一

首先,看看各种手机型号的表现。总共,研究人员测试了 10 款型号:小米 Mi 11 Ultra、Vivo X60 Pro、OnePlus 7 Pro、OPPO Reno Ace、Samsung Galaxy S10+、OnePlus 5T、华为 Mate30 Pro 5G, 华为 P40、Apple iPhone SE 和 Apple iPhone 7。

研究人员测试了每款手机是否存在漏洞、弱点或易受各种攻击技术影响。检查的属性包括多重采样中的样本数量、是否存在错误取消、是否支持热插拔、是否可以解码数据以及 SPI 上的数据传输频率。此外,研究人员还测试了三种攻击:尝试限制绕过、劫持指纹图像和指纹暴力破解。

研究人员提供了显示各种手机被指纹暴力破解所需时间的结果。

不同手机的表现不一样,取决于它们的 SFA 系统的设计和实现。例如,小米 Mi 11 Ultra 和 Vivo X60 Pro 都支持多重采样,即每次解锁时会采集多个指纹样本,并将它们与存储在设备中的指纹模板进行比较。这样可以提高识别准确率,但也增加了暴力破解的难度,因为攻击者需要同时匹配多个样本。另一方面,OnePlus 7 Pro 和 OPPO Reno Ace 都有错误取消功能,即当指纹传感器检测到错误的指纹时,会立即停止传输数据,从而阻止攻击者截获指纹图像。此外,一些手机还有热插拔保护,即当指纹传感器被拆卸或替换时,会锁定设备或触发警报。

BrutePrint攻击的机制?

首先,攻击者需要将 BrutePrint 设备连接到目标手机的指纹传感器上,并将手机置于飞行模式或断开网络连接,以防止远程擦除或锁定。然后,攻击者需要启动 BrutePrint 设备,并从闪存卡中加载指纹数据库。接下来,BrutePrint 设备会向手机发送一个特殊的信号,使其进入解锁模式,并开始尝试不同的指纹图像。如果手机支持多重采样或错误取消功能,BrutePrint 设备会利用两个 0day 漏洞来绕过它们。

第一个漏洞是 CAMF (cancel-after-match fail),即当匹配失败时,BrutePrint 设备会发送一个取消信号,使手机认为是用户主动取消了解锁操作,从而避免被锁定或触发警报。第二个漏洞是 MAL (match-after-lock),即当手机被锁定后,BrutePrint 设备会发送一个匹配成功的信号,使手机认为是用户正确输入了指纹,并重新解锁。

通过这种方式,BrutePrint设备可以不断地尝试不同的指纹图像,直到找到一个能够解锁手机的为止。根据研究人员的测试结果,不同手机被暴力破解所需的时间从 45 分钟到 3 小时不等。其中最快的是 OnePlus 5T 和华为 Mate30 Pro 5G,最慢的是小米 Mi 11 Ultra 和 Vivo X60 Pro。研究人员表示,这种攻击方法对于那些丢失或被盗手机的用户来说是一个严重的威胁,因为攻击者可以在很短的时间内获取他们的敏感数据或执行恶意操作。

BrutePrint是腾讯的Yu Chen和浙江大学的Yiling He 的作品。

他们提出了一些旨在阻碍攻击的软件或硬件优化方案。

一项更改是通过检查 CAMF 漏洞来防止尝试限制绕过。该检查通过为错误取消设置额外的限制来进行。另一个建议的修复方法是通过加密指纹传感器和设备处理器之间传递的数据来防止中间人攻击。

研究人员写道:“这种前所未有的威胁需要智能手机和指纹传感器制造商合作解决,而操作系统也可以缓解这些问题。我们希望这项工作能够激励社区提高 SFA 安全性。”

https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/

赞一个 (14)