Китайские ученые нашли в смартфонах шести крупных компаний – Samsung, Xiaomi, HUAWEI, Vivo, OnePlus, OPPO – уязвимости, которые позволяют взломать сканер отпечатков пальцев.
Исследователям удалось получить бесконечное количество попыток для разблокировки смартфонов, создать много искусственных отпечатков с помощью нейросетей и подобрать подходящий для разблокировки. В итоге на взлом одного смартфона уходило от 40 минут до 13 часов.
Система безопасности
Аутентификация с помощью отпечатка пальца в смартфонах состоит из 4 этапов: получение отпечатка, когда палец касается сенсора; улучшение качества изображения; проверка текстуры, нажима и формы отпечатка; сравнение с правильным отпечатком из базы данных.
В отличие от паролей, система не проверяет полное соответствие двух отпечатков. Вместо этого полученному отпечатку достаточно преодолеть заданный порог сходства с правильным. Если пробовать много разных отпечатков, один из них рано или поздно перейдет этот порог. Именно поэтому у сканеров отпечатков пальцев есть дополнительный метод усиления безопасности –ограничение количества попыток. После нескольких безуспешных попыток зайти в смартфон система блокирует доступ.
Лазейка для злоумышленника
Инженеры из Чжэцзянского университета придумали алгоритм BrutePrint, который может обмануть сканер отпечатков пальцев. Они обнаружили две уязвимости Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL), благодаря которым можно делать сколько угодно попыток аутентификации по отпечатку, а иногда и похитить отпечаток пальца пользователя, который хранится на смартфоне.
Уязвимость CAMF основана на том, что за одну попытку аутентификации сканер обычно делает сразу несколько изображений отпечатков. Если убедить сканер, что множество разных изображений были сделаны за одну попытку, то можно пробовать бесконечно много отпечатков.
Другая уязвимость – MAL – помогает обойти режим блокировки доступа после превышения числа неправильных попыток. В некоторых смартфонах во время выхода экрана из спящего режима блокировка доступа не работает. Этого хватает, чтобы внедриться в систему и запустить попытки доступа к сканеру отпечатков.
Таким образом, главный этап атаки – внедриться в систему сканирования и начать посылать ей изображения отпечатков, используя уязвимости CAMF и MAL. Для этого инженеры собрали систему, которая может перехватывать и менять сигнал между сканером отпечатков пальцев и процессором смартфона. Стоимость всех компонентов системы составила всего 15 долларов, а базу данных отпечатков для перебора можно собрать самостоятельно или найти в открытых источниках: всевозможных научных исследованиях или утечках данных.
Android или iOS?
Инженеры провели десять экспериментов с разными смартфонами. Уязвимость CAMF сработала на всех моделях, но по-разному. Например, удалось получить неограниченное количество попыток разблокировки на всех смартфонах с операционной системой Android и только 15 попыток на iOS. Кроме того, на айфонах ученым не удалось перехватить сигнал между процессором и сканером отпечатков пальцев, так как iOS всегда шифрует этот сигнал, в отличие от Android.
В итоге сканер не удалось взломать только на смартфонах компании Apple. На взлом остальных гаджетов ушло от 40 минут до 13 часов. Ученым также удалось похитить оригинальные отпечатки пальцев пользователей со всех смартфонов на платформе Android.
Впрочем, любители продукции Apple тоже не гарантированы от взлома. Вьетнамским инженерам удалось обмануть Face ID в iPhone X с помощью маски. Ее распечатали на 3D-принтере, налепили на нее нос и приклеили изображения губ и глаз. Сканер Face ID принял маску стоимостью 150 долларов за настоящее лицо.
Параллельно с экспериментами вьетнамцев немецкая группа хакеров представила относительно простой способ взлома сканера радужной оболочки глаз в смартфоне Samsung Galaxy S8. Для этого злоумышленнику необходимо сделать инфракрасный снимок глаз со среднего расстояния, распечатать его на лазерном принтере, и закрепить поверх контактную линзу.
