Okazuje się, że wszystko się da, tylko trzeba trochę woli. I czasu. Najnowszy raport badaczy testujących granice zabezpieczeń smartfonów na Androidzie nie mają dla nas najlepszych wieści.
Autoryzacja odciskiem palca jest bezpieczna, ale nie zawsze
Grupa naukowców z Tencent Labs oraz uniwersytetu w Zhejiang postanowiła sprawdzić, jaki stopień odporności na ataki BrutePrint mają smartfony działające na systemie Android oraz iOS. W tym wypadku sprzęty z systemem Google nie wypadły najlepiej. Jak do tego doszło?
Otóż uwierzytelnianie za pomocą czytnika linii papilarnych zazwyczaj dopuszcza pewien margines błędu podczas zbierania danych z sensora. Czujnik może być odrobinę zabrudzony, użytkownik może nieprecyzyjnie przyłożyć palec do powierzchni aktywnej… No może wydarzyć się sporo.
W związku z powyższym, systemy mobilne biorą to pod uwagę i zwykle pozwalają na kilkukrotne błędne wprowadzenie danych, zanim próby zakończą się zablokowaniem ekranu na dłużej, a może i na tzw. amen w pacierzu. Jednocześnie zabezpieczenia wkalkulowują w ocenę odczytu dane z innych sensorów – na przykład to, czy smartfon jest trzymany w dłoni.
Chińskim badaczom udało się jednak obejść te zabezpieczenia, wykorzystując dwie luki, nazwane Cancel-After-Match-Fail (CAMF) i Match-After-Lock (MAL). Odpowiednie wykorzystanie czasu potrzebnego na zebranie odpowiedniej liczby błędnych odczytów odcisków palców, prowadzącej do całkowitego zablokowania urządzenia, pomaga określić, ile go potrzeba, by dostać się do chronionych zasobów. Oprócz tego okazało się, że dane biometryczne były niewystarczająco zaszyfrowane, co umożliwiło ich przejęcie.
Powyższe metody działania wypróbowano na urządzeniach z systemem iOS i smartfonach z Androidem, wśród których znajdowały się modele Xiaomi Mi 11 Ultra, OnePlus 7 Pro, czy Huaweri P40 Pro. Czy to oznacza, że każdy z nich jest zagrożony? Niekoniecznie.
Sztuczka z odblokowaniem Androida, na którą potrzeba czasu
Żeby odblokowanie urządzenia metodą BrutePrint było możliwe, atakujący musi mieć fizyczny dostęp do sprzętu. Nie ma opcji, żeby próba obejścia zabezpieczeń odbyła się zdalnie, dlatego póki nasz smartfon bezpiecznie znajduje się w naszej kieszeni, zgromadzonym na nim danym nic nie grozi.
Co prawda, żeby w ogóle zabrać się za łamanie zabezpieczeń nie jest potrzebny jakiś specjalistyczny sprzęt, bo zgromadzenie wystarczającego zestawu „zhakuj to sam” pochłania zawrotne 15 dolarów, ale trzeba wziąć też pod uwagę inny ważny czynnik.
Drugi istotny warunek powodzenia systemu opracowanego przez badaczy, to posiadanie wystarczającej ilości czasu. Przeprowadzenie ataku BrutePrint zajmuje od około 3 do mniej więcej 14 godzin, jeśli na urządzeniu zapisano jeden wzór odcisku palca.
Wychodzi więc na to, że nasze dane mogą być zagrożone właściwie wyłącznie w wyniku fizycznej kradzieży urządzenia i to tylko wtedy, jeśli będziemy bardzo powolni w kwestii zdalnego zablokowania sprzętu.