החוקרים חשפו מתקפה חדשה על סלולר מסוג אנדרואיד

באתר Bleeping computer דווח כי חוקרים ממעבדות טנסנט ואוניברסיטת זג'יאנג הציגו מתקפה חדשה בשם 'BrutePrint', אשר כופה טביעות אצבע על סמארטפונים כדי לעקוף את אימות המשתמש ולהשתלט על המכשיר.

מתקפות brute-force מסתמכות על ניסיונות חוזרים ורבים על מנת לפצח קוד, מפתח או סיסמה ולהשיג גישה לא מורשית לחשבונות, מערכות או רשתות.

החוקרים הסינים הצליחו להתגבר על אמצעי הגנה קיימים על סמארטפונים, כמו הגבלה של כמו ניסיונות והגנות מפני מתקפות brute-force, על ידי ניצול מה שלטענתם הוא שתי חולשות zero-day אותן הם כינו Cancel-After-Match-Fail (CAMF) ו-Match-After-Lock (MAL).

מחברי המאמר הטכני שפורסם באתר Arxiv.org מצאו גם כי נתונים ביומטריים על חיישני טביעת האצבע (SPI) היו מוגנים בצורה לא מספקת, מה שמאפשר מתקפה של אדם באמצע (MITM) לחטיפת תמונות טביעות אצבע.

מתקפות מהסוג הזה נבדקו מול עשרה דגמי סמארטפונים פופולריים, והצליחו להשיג ניסיונות בלתי מוגבלים בכל מכשירי Android ו- HarmonyOS ועשרה ניסיונות נוספים במכשירי iOS.

בחברת אבטחת המידע ESET מסבירים כי: "ממצאים אלו נשמעים מדאיגים במבט ראשון. אולם במבט מעמיק יותר, ייתכן שהאיום לא יהיה משמעותי כפי שהוצע. בראש ובראשונה, הפגם הזה מתועד כעת בפומבי וניתן לתקן אותו. שנית, לתוקפים יש הרבה תנאים מוקדמים שצריך לעמוד בהם - חומרה ישנה, גרסאות אנדרואיד ישנות, אבל גם גישה פיזית למכשיר של הקורבן.

יהיה בטוח לומר, שעבור המשתמשים הממוצעים, התקפות מסוג זה מהוות איום ברמה נמוכה. אם הפגמים האלה לא תוקנו כבר על ידי החומרה והתוכנה הנוכחיים, סביר להניח שהם יטופלו בעדכונים עתידיים".

'בחדרי' גם ברשתות החברתיות - הצטרפו!